米Cisco Systemsは10月12日、「Cisco Meeting Server」「Cisco Wide Area Application Services」「Cisco Unified Communications Manager」「Cisco Prime Infrastructure and Evolved Programmable Network Manager SQL」「Cisco Finesse」「Cisco cBR-8 Converged Broadband Router」のセキュリティアップデートを公開した。
このうちCisco Meeting Serverには、Extensible Messaging and Presence Protocol(XMPP)の不適切な処理に起因する脆弱性が存在する。悪用された場合、第三者がクライアント認証を迂回して正規ユーザーになりすまし、不正にログインできてしまう恐れがある。
同社は脆弱性を「クリティカル」に分類。影響を受けるのは、Cisco Meeting Server 2.0.6より以前のバージョン、もしくはAcano Server 1.8.18より以前のバージョン、同1.9.6より以前のバージョンでXMPPを有効にしている場合という。修正版はCisco Meeting Server 2.0.6とAcano Server version 1.8.18、同1.9.6となっている。
この他の製品ではDoS(サービス拒否)攻撃やクリックジャッキング、SQLインジェクション、クロスサイトリクエストフォージェリ、認証関連の脆弱性が存在し、いずれも影響は「中程度」と評価されている。同社はそれぞれアップデートや回避策などについて情報を公開した。
関連記事
Cisco IOSなどに新たな脆弱性、ファイアウォールにも影響
ハッカー集団から流出したハッキングツールで悪用されていたのと同様の脆弱性がその後の調査で発覚した。Ciscoはソフトウェアアップデートの公開を予定している。
ネット売り出しの攻撃ツールにCisco製品の脆弱性、悪用を確認
NSAの関与が噂される「Equation Group」から流出させたというハッキングツールが売りに出された問題で、Ciscoのファイアウォールの脆弱性を突くコードが含まれていたことを同社が確認した。
Cisco、危険度最高値「10.0」の脆弱性など多数修正
「Cisco Prime Infrastructure」および「Cisco Evolved Programmable Network Manager」(EPNM)と、「Cisco Prime Collaboration Provisioning」にそれぞれ極めて危険度の高い脆弱性が存在する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.