シスコ、IOS関係の脆弱性に対応する修正パッチ3件を公開

文:Robert Vamosi(CNET News.com) 翻訳校正:緒方亮、福岡洋一 2008年05月23日 15時23分

  • このエントリーをはてなブックマークに追加

 Cisco Systemsは米国時間5月21日、「Cisco Internetwork Operating System」(Cisco IOS)に影響のある重大な脆弱性の修正パッチを3件発表した。脆弱性の最も深刻なものは、「Cisco Voice Portal」とセキュアシェルサーバ(SSH)の実装に関するものだ。

 Ciscoによると、パッチの1つは音声と動画によるセルフサービスを統合した「Cisco Unified Customer Voice Portal(CVP)」の脆弱性に対応するものだ。この脆弱性を利用すると、認証されたユーザーがスーパーユーザーのアカウントを作成、変更、消去できる。つまり、悪用されると、システムを完全に制御されるおそれがある。

 2件目のパッチはCisco IOSのSSHサーバの実装に関するもので、複数の脆弱性に対応している。この脆弱性を利用すると、未認証ユーザーが偽のメモリアクセスエラーを生成でき、場合によってはデバイスのリロードが可能になる。Ciscoによると、IOS SSHサーバはデフォルトでは無効にされているオプションのサービスだが、一方で、Cisco IOS搭載デバイスを管理する際のセキュリティのベストプラクティスとして利用が推奨されている。

 3件目のパッチは「Cisco Service Control Engine(SCE)」に存在するSSHの3つの脆弱性に対応するもので、これらの脆弱性は、システムの不安定やSCEのリロードにつながるおそれがあるという。Ciscoによると、脆弱性の1つはブルートフォースによるSSHのログインを引き金として悪用されるおそれがある。2つ目の脆弱性は、通常のSSHログインとその時に行われているSCEのほかの管理アクションを引き金として悪用されるおそれがある。3つ目の脆弱性は、特定の不正な認証情報を使って悪用されるおそれがある。

 VoIPシステムに対する攻撃は一般的なものになってきている。2008年の「Shmoocon」では、VigilarのシニアセキュリティアーキテクトであるJohn Kindervag氏が、病院の待合室、会議室、ホテルの客室などはこうした攻撃に対して特に無防備だと語った。

 結論:Cisco IOSの利用者は、今日すぐにアップデートを入手すること。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!