ニュース
WikiLeaksで発覚したCisco IOSの重大な脆弱性を修正
3月に発覚した「Cisco IOS」「Cisco IOS XE Software」の脆弱(ぜいじゃく)性を修正するソフトウェアアップデートが公開された。
米Ciscoのスイッチなど、数百種類もの製品に搭載されている「Cisco IOS」「Cisco IOS XE Software」に重大な脆弱(ぜいじゃく)性が発覚していた問題で、この脆弱性を修正するソフトウェアアップデートが5月8日付で公開された。
Ciscoによると、脆弱性はIOSとIOS XE SoftwareのCluster Management Protocol(CMP)処理コードに存在する。悪用された場合、攻撃者が脆弱性のあるデバイスとの間でTelnetセッションを確立し、細工を施したCMP指定Telnetコマンドを送り付けることによって、任意のコードを実行し、デバイスを完全に制御できてしまう可能性がある。TelnetのCMP指定オプションはデフォルトで有効になっているという。
この問題を巡っては、米中央情報局(CIA)による監視活動の実態を示すとされる極秘文書「Vault 7」を告発サイトのWikiLeaksが3月に公開。Vault 7の関連文書を調査する過程で、IOSとIOS XE Softwareの脆弱性が発覚した。
4月には、この脆弱性を突くエクスプロイトコードがセキュリティ研究者によって公開されていたという。しかしCiscoでは、「この脆弱性の悪用については確認されていない」としている。
関連記事
- Cisco IOSの重大な脆弱性、WikiLeaks情報で発覚 数百種類のスイッチに影響
米Ciscoのスイッチなど何百種類もの製品に搭載されている「Cisco IOS」と「Cisco IOS XE Software」に重大な脆弱性が発覚した。 - Cisco製品多数の部品に不具合 18カ月たつと障害発生、復旧不可能に
あるサプライヤーが製造した部品に不具合があり、現在は正常に動作していても、約18カ月たったころから障害が発生するようになるという。 - Cisco、Google Chrome向け拡張機能「WebEx」の深刻な脆弱性を修正
悪用された場合、攻撃者が特定のパターンのURLをWebサイトに仕込んでユーザーに参照させ、WebExセッションを開始させることによって任意のコードを実行できてしまう恐れがある。 - 「WebEx」プラグインの脆弱性はFirefoxとIEにも影響、Ciscoが更新版で対処
CiscoはGoogle ChromeとMozilla Firefox、MicrosoftのInternet Explorer(IE)向けのソフトウェアアップデートを公開して「WebEx」の脆弱性に対処したことを明らかにした。 - Cisco、多数製品のセキュリティアップデート公開 深刻な脆弱性も
Cisco Meeting Serverではクライアント認証を迂回されてしまう恐れがあるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.