Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱ライブラリ同梱した「Apache Struts」、「Webex」などCisco製品にも影響

「Apache Struts 2.3」系の最新版となる「Apache Struts 2.3.36」に、脆弱性を含むライブラリ「Commons FileUpload」が含まれていることが明らかとなった問題で、Cisco Systemsは同社製品への影響を明らかにした。

20181127_cs_001.jpg
Cisco Systemsによるアドバイザリ

2018年10月15日にリリースされた「Apache Struts 2.3.36」や以前のバージョンに含まれる「Commons FileUpload」ライブラリに、重要度が「クリティカル(Critical)」とされる脆弱性「CVE-2016-1000031」が含まれることが明らかとなったもの。

ライブラリ「Commons FileUpload」の脆弱性そのものは、2017年6月に公開された「同1.3.3」で解消済みだが、「Apache Struts 2.3.36」には脆弱なバージョンが同梱されているとし、開発チームではライブラリをアップデートするよう注意喚起を行っている。

同問題を受け、Cisco Systemsでは、「Cisco Webex Meetings Server」「Cisco Unified Communications Manager」「Cisco Enterprise Chat and Email」をはじめ、30製品以上が同脆弱性の影響を受けることを公表した。

同社では、アドバイザリにおいて修正パッチのリリース計画についても明らかにしており、製品によって提供時期は異なるものの、11月から順次リリースしていくという。

ただし、一部製品では2019年5月のリリースとなるものや、アップデートのリリース予定がないものも含まれる。脆弱性の影響を受ける製品は以下のとおり。

Cisco SocialMiner
Cisco Webex Meetings Server
Cisco Webex Management
Cisco Identity Services Engine
Cisco Secure Access Control System
Cisco Prime Collaboration Provisioning
Cisco Prime Infrastructure
Cisco Prime License Manager
Cisco Prime Network Registrar IP Address Manager
Cisco Prime Network
Cisco Prime Service Catalog
Cisco IOx Fog Director
Cisco IoT Field Network Director
Cisco Emergency Responder
Cisco Enterprise Chat and Email
Cisco Finesse
Cisco Hosted Collaboration Mediation Fulfillment
Cisco Hosted Collaboration Solution for Contact Center
Cisco MediaSense
Cisco Unified Communications Manager IM & Presence Service
Cisco Unified Communications Manager
Cisco Unified Contact Center Enterprise
Cisco Unified Contact Center Express
Cisco Unified E-Mail Interaction Manager
Cisco Unified Intelligence Center
Cisco Unified Intelligent Contact Management Enterprise
Cisco Unified Web Interaction Manager
Cisco Unity Connection
Cisco Virtualized Voice Browser
Cisco Video Distribution Suite for Internet Streaming
Cisco Mobility Services Engine
Cisco Universal Small Cell RAN Management System
Cisco Prime Network Change and Configuration Management
Cisco Smart Connected Spaces
Cisco Smart Net Total Care
Cisco Webex Centers
Cisco Webex Meetings

(Security NEXT - 2018/11/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Apache Struts」のアップロード機能に深刻な脆弱性 - リモートよりコード実行のおそれ
「Apache Struts 2.3」系、2019年5月にサポート終了 - 移行の検討を
「Struts 2」脆弱性、公開2日後には攻撃発生 - 攻撃者は1週間前から別の攻撃も展開
「Struts 2」脆弱性を狙う攻撃キャンペーン「Bleeding Thunder」 - 国内企業のサイト含む標的リストも
脆弱な「Struts 2」サイトの探索行為 - ロシアの攻撃グループが関与か
CiscoやOracle、「Struts 2」脆弱性の影響受ける製品をアナウンス
対「Struts 2」の脆弱性攻撃が発生、目的はマイニング - さらなる悪用増加に要警戒
「Apache Struts 2」脆弱性に実証コード - 地下フォーラムでも不穏な動き
「Apache ActiveMQ」に複数の脆弱性 - アップデートがリリース
「Apache Struts 2」に深刻な脆弱性 - 悪用容易で攻撃ツールなど出回るおそれも