Cisco、危険度最高値「10.0」の脆弱性など多数修正

「Cisco Prime Infrastructure」および「Cisco Evolved Programmable Network Manager」(EPNM)と、「Cisco Prime Collaboration Provisioning」にそれぞれ極めて危険度の高い脆弱性が存在する。

» 2016年07月01日 07時52分 公開
[鈴木聖子ITmedia]

 米Ciscoは6月29日から30日にかけ、複数製品の極めて深刻な脆弱性に対処するソフトウェアアップデートを公開した。悪用されれば認証を受けないリモートの攻撃者にシステムを制御される恐れがあるとして、米セキュリティ機関US-CERTもアップデートの適用を呼び掛けている。

 Ciscoのセキュリティ情報によると、「Cisco Prime Infrastructure」および「Cisco Evolved Programmable Network Manager」(EPNM)と、「Cisco Prime Collaboration Provisioning」にそれぞれ極めて危険度の高い脆弱性が存在する。

 Prime InfrastructureとEPNMの脆弱性は、HTTPリクエストの不適切な入力値検証に起因する。悪用された場合、細工を施したHTTPリクエストを送り付ける手口によって、悪質なコードをアプリケーションサーバにアップロードされたり、Prime InfrastructureやEPNMで管理されているデバイスの認証情報といった管理データを読まれたりする恐れがある。

 一方、Cisco Prime Collaboration Provisioningの脆弱性は、Lightweight Directory Access Protocol(LDAP)の不適切な実装に原因がある。攻撃者がこの問題を突いてLDAPが設定されているデバイスにログインし、管理者特権を取得できてしまう可能性が指摘されている。

評価された脆弱性は危険度が高い(Ciscoより)

 いずれも危険度は共通脆弱性評価システム(CVSS)のベーススコアで最も高い「10.0」。現時点で悪用されたという情報は入っていないという。

 Ciscoはこの他にも、6月下旬にかけて多数の製品で危険度「高」〜「中」程度の脆弱性を修正している。

Copyright © ITmedia, Inc. All Rights Reserved.