シスコは、ネットワークおよび統合コミュニケーション ライン全体にわたる 17 件の脆弱性に対処するための修正プログラムをリリースしました。
このバンドルには、重大な問題に対する修正プログラム1件と、高リスクの脆弱性とみなされるバグに対するパッチ6件が含まれています。これらの脆弱性には、リモートアクセスとコード実行、権限昇格、サービス拒否、クロスサイトリクエストフォージェリなどが含まれます。
唯一の重大なセキュリティ情報は CVE-2020-3158 に関するもので、Cisco Smart Software Manager ツールに静的パスワードを持つ高権限アカウントが存在することによって引き起こされるバグです。
「この脆弱性は、システム管理者の管理下にない、デフォルトの固定パスワードを持つシステムアカウントに起因しています」とシスコは述べています。「攻撃者は、このデフォルトアカウントを使って影響を受けるシステムに接続することで、この脆弱性を悪用する可能性があります。」
今週もまた、Windows 10マシンにパッチが適用される
続きを読む
Smart Software Managerはソフトウェアのライセンスとキーを管理するため、この脆弱性によって企業の機密データに大きなリスクが生じることはありません。しかし、削除できない高権限アカウントに静的パスワードが設定されている状況は誰も望んでいません。そのため、管理者はソフトウェアを更新し、静的アカウントを早急に削除することをお勧めします。
また、この Switchzilla パッチ バンドルでは、Unified Contact Center (CVE-2019-1888) および Data Center Network Manager (CVE-2020-3112) の権限昇格バグ、およびローカル アクセスを必要とする NFV インフラストラクチャ ソフトウェア (CVE-2020-3138) のコード実行バグも修正されました。
サービス拒否(DoS)脆弱性は一般的に大きなリスクとは考えられていませんが、ネットワークセキュリティアプライアンスで発見された場合、その深刻度は格段に高まります。Cisco Eメールセキュリティアプライアンスに発見されたCVE-2019-1947とCVE-2019-1983がその好例です。
その他のそれほど深刻ではない欠陥としては、クラウド Web セキュリティの SQL インジェクション (CVE-2020-3154) や Cisco IP Phone のリモート コード実行バグ (CVE-2020-3111) などがあります。®
