リモートの攻撃者が細工を施したEAP-FASTパケットを送り付けることによって任意のコマンドを実行し、サーバを制御できてしまう恐れがある。
米Cisco Systemsの「Secure Access Control Server(ACS)」に極めて深刻な脆弱性が発覚し、同社は8月28日付でセキュリティ情報を公開して、この脆弱性に対処した。
Ciscoのセキュリティ情報によると、脆弱性はSecure ACSのバージョン4.0〜4.2.1.15に存在する。悪用された場合、リモートの攻撃者が細工を施したEAP-FASTパケットを送り付けることによって任意のコマンドを実行し、サーバを制御できてしまう恐れがある。
なお、この問題はSecure ACSがRADIUSサーバとして設定されている場合にのみ発生するという。
危険度は、共通指標のCVSSベーススコアで最も高い「10.0」と評価されている。回避策は存在しない。Ciscoは無料ソフトウェアアップデートを公開してこの脆弱性に対処している。
Copyright © ITmedia, Inc. All Rights Reserved.