Cisco、危険度最高値「10.0」の脆弱性など多数修正
「Cisco Prime Infrastructure」および「Cisco Evolved Programmable Network Manager」(EPNM)と、「Cisco Prime Collaboration Provisioning」にそれぞれ極めて危険度の高い脆弱性が存在する。
米Ciscoは6月29日から30日にかけ、複数製品の極めて深刻な脆弱性に対処するソフトウェアアップデートを公開した。悪用されれば認証を受けないリモートの攻撃者にシステムを制御される恐れがあるとして、米セキュリティ機関US-CERTもアップデートの適用を呼び掛けている。
Ciscoのセキュリティ情報によると、「Cisco Prime Infrastructure」および「Cisco Evolved Programmable Network Manager」(EPNM)と、「Cisco Prime Collaboration Provisioning」にそれぞれ極めて危険度の高い脆弱性が存在する。
Prime InfrastructureとEPNMの脆弱性は、HTTPリクエストの不適切な入力値検証に起因する。悪用された場合、細工を施したHTTPリクエストを送り付ける手口によって、悪質なコードをアプリケーションサーバにアップロードされたり、Prime InfrastructureやEPNMで管理されているデバイスの認証情報といった管理データを読まれたりする恐れがある。
一方、Cisco Prime Collaboration Provisioningの脆弱性は、Lightweight Directory Access Protocol(LDAP)の不適切な実装に原因がある。攻撃者がこの問題を突いてLDAPが設定されているデバイスにログインし、管理者特権を取得できてしまう可能性が指摘されている。
いずれも危険度は共通脆弱性評価システム(CVSS)のベーススコアで最も高い「10.0」。現時点で悪用されたという情報は入っていないという。
Ciscoはこの他にも、6月下旬にかけて多数の製品で危険度「高」〜「中」程度の脆弱性を修正している。
関連記事
- Cisco製品にまた固定パスワードの脆弱性、「DROWN」問題の対応も説明
Cisco製スイッチのアカウントに固定パスワードが設定される極めて深刻な脆弱性に対処。OpenSSLやGNU glibcの脆弱性についても対応状況を説明している。 - Cisco ASAシリーズに深刻な脆弱性、CVSS値は最大
危険度はCVSS最大値の10.0に達する。UDPパケット1つで悪用できてしまう恐れもあり、500番UDPポートは既にトラフィックの増大が見られるという。 - Ciscoのアクセスポイントに固定パスワードの脆弱性
インストールの過程で作成されるデフォルトのユーザーアカウントに固定パスワードが使用されていた問題に対処。他にも多数の製品に見つかった深刻な脆弱性が修正された。 - Cisco、Android向け「WebEx Meetings」の脆弱性を修正
悪用された場合、攻撃者がカスタムアプリケーションを利用して、WebExアプリケーションと同じパーミッションを密かに取得できてしまう恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.