危険度は最大の「10.0」。当初公開していたアップデートでは不十分だったことも分かり、修正版のアップデートが2月5日に公開された。
米Ciscoのファイアウォールなどのセキュリティ製品に極めて重大な脆弱性が発見され、Ciscoは2月5日までに、改訂版のソフトウェアアップデートを公開して対処した。
この問題でCiscoは当初、NCC Groupによって発見された脆弱性を修正するためのソフトウェアアップデートを1月29日に公開していた。しかし詳しく調べた結果、さらに別の攻撃経路が発見され、当初のアップデートでは不十分だったことも判明したとして、修正版のアップデートを2月5日に改めて公開した。
脆弱性はCisco Adaptive Security Appliance(ASA)SoftwareのXMLパーサに存在しており、リモートでのコード実行や、サービス妨害(DoS)などの攻撃に利用される恐れがある。危険度は、共通脆弱性評価システム(CVSS)のベーススコアで最大の「10.0」と評価している。
影響を受けるのは、ASA Softwareを搭載しているセキュリティアプライアンスやファイアウォールなど14製品。ASAでSecure Socket Layer(SSL)サービスまたはIKEv2 Remote Access VPNサービスを有効にしている場合に脆弱性が発生する。
今回の脆弱性については、事前に情報が公開されていたことも判明したが、2月5日の時点で悪用は確認されていないとしている。Ciscoでは全ユーザーに対し、修正版のソフトウェアアップデートを適用するよう促している。
Copyright © ITmedia, Inc. All Rights Reserved.