TOPSoftware > CiscoがIOSやASR 9000などの脆弱性情報を多数公...

Software

CiscoがIOSやASR 9000などの脆弱性情報を多数公開、うち2件は重大

2019/04/22

Michael Cooney Network World

 米Cisco Systemsは、2019年4月15日から18日にかけて、30件以上の脆弱性情報をセキュリティアドバイザリで公開した。この中には、影響度「Critical」が2件ある。1件は、Cisco IOS/IOS XEソフトウエアのCisco Cluster Management Protocol(CMP)の脆弱性、もう1件はASR 9000シリーズのルーターのIOS XRソフトウエアの脆弱性だ。そのほか、Cisco Wireless LAN Controllerに関する複数の脆弱性も発表されており、注意が必要だ。

Credit: Woolzian / Getty Images

 Criticalとなっている脆弱性の1件目は、Cisco IOSおよびIOS XEソフトウエアのCMP処理コードに存在する脆弱性だ。Telnet接続を受け入れるように当該機器を設定している場合に、リモート攻撃を受ける恐れがある。攻撃者は、Telnetセッションを確立する際に、CMP固有のオプションを不正な形で送ることにより、任意のコードの実行、機器の完全制御、再起動などを行える。この脆弱性のCVSSスコアは9.8だ。

 Ciscoによると、CMPでは、クラスタメンバー間の内部的なシグナルやコマンドのプロトコルとしてTelnetを使用しているが、これに関して2つの点で問題があったことが脆弱性の原因となった。1つは、こうしたCMP固有のTelnetオプションの受け入れを、ローカルでの内部的な通信に限定せず、あらゆるTelnet接続で受け入れてしまうこと。もう1つは、不正なCMP固有のTelnetオプションを適切に処理できないこと。

↑ページ先頭へ