Cisco IOS XE、半年に1度のセキュリティ情報公開 危険度「高」の脆弱性対応も

Ciscoはルーターなど多数の製品に搭載されている「IOS」「IOS XE」の脆弱性に対処した。これとは別に、スモールビジネス向けルーターの未解決の脆弱性に関する情報も公開した。

[鈴木聖子，ITmedia]

　米Cisco Systemsは3月27にかけ、ルーターやスイッチなど多数の製品に搭載されている「IOS」および「IOS XE」の脆弱性に関する情報を公開した。同社は半年ごとにIOSとIOS XEのセキュリティ情報をまとめて公開しており、今回は19件の脆弱性について、修正のためのソフトウェアアップデートを公開した。

　脆弱性はいずれも危険度「高」の位置付けで、共通脆弱性評価システム（CVSS）のベーススコアは最も高いもので8.8（最高値は10.0）。悪用されれば権限を昇格されたり、サービス妨害（DoS）攻撃を仕掛けられたりする恐れがある。

　これとは別にCiscoは、スモールビジネス向けデュアルギガビットWAN VPNルーター「RV320」と「RV325」の2件の脆弱性に関する更新情報も同日公開し、1月に提供した更新プログラムが不完全だったことを明らかにした。

　RV320とRV325の脆弱性はいずれもWebベースの管理インタフェースに存在しており、悪用されれば任意のコマンドを実行されたり、センシティブな情報が流出したりする恐れがある。

　Ciscoは問題の解決に当たっているが、現時点でこの脆弱性を完全に解決するためのファームウェア更新版はまだ公開されておらず、緩和策も存在しないという。もしもRemote Management機能が有効になっている場合は、無効とするよう勧告している。