Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Cisco IOS」に情報漏洩の脆弱性 - 「Shadow Brokers」のエクスプロイト調査中に判明

Cisco Systemsのネットワーク機器向けソフトウェア「Cisco IOS」「同XE」「同XR」に、情報漏洩の脆弱性が存在することが明らかとなった。同社はアップデートの準備を進めている。

脆弱性を公表したCisco Systems
脆弱性を公表したCisco Systems

これらソフトウェアの一部バージョンに、「IKEv1」のパケット処理においてメモリの内容が取得される脆弱性「CVE-2016-6415」が存在することが判明したもの。リモートより認証なく攻撃が可能で、重要度は、4段階中上から2番目にあたる「高(high)」にレーティングされている。

影響を受けるソフトウェアを搭載した機器において、「IKEv1」のネゴシエーションを受け入れる設定の場合、細工したパケットを利用して、機密情報を取得されるおそれがある。

「Cisco IOS」に関してはバージョンごとに影響の有無が異なり、同社では対象となるバージョンの一覧をアドバイザリで公開。「同XR」に関しては、「同5.2.x」および以前のバージョンに脆弱性が存在するが、「同5.3.x」以上であれば影響を受けないとしている。

一方「同XE」に関してはすべてのバージョンが影響を受ける。いずれも緩和策は存在せず、同社では脆弱性を修正するアップデートについて準備を進めている。

(Security NEXT - 2016/09/20 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Apache Struts 2」の脆弱性、一部代替パーサーでも攻撃が成立
不正送金対策ソフトのインストーラに脆弱性 - 最新版で修正
「Apache Struts 2」にあらたな問題が判明 - 「Content-Type」以外のHTTPヘッダでも攻撃可能
「Apache Struts 2」に脆弱性の影響を緩和するプラグイン - 更新できない利用者向けに公開
ファイル共有ソリューション「Commvault Edge」に脆弱性
「Apache Tomcat」に情報漏洩の脆弱性 - アップデートで修正
「Apache Struts 2」狙う攻撃が増加傾向 - 3月14日には2000件超を記録
「Windows Vista」のサポート終了まで1カ月切る - 「Exchange Server 2007」なども
4月に「Windows Vista」がEOL - 「Windows 7」終了まであと3年
ニッポン放送に不正アクセス、顧客情報5.7万件が漏洩のおそれ - 原因は「Struts 2」脆弱性