「WebEx Meetings Server」などCisco複数製品に「Apache Log4j」由来の脆弱性

ロギングライブラリ「Apache Log4j」に深刻な脆弱性が明らかとなった問題で、Cisco Systemsは複数製品が影響を受けることを明らかにした。現在も調査が進められており、さらに影響が拡大する可能性もある。

問題とされる「CVE-2021-44228」は、多くのJavaアプリケーションでログの記録に活用されているライブラリ「Apache Log4j」に明らかとなった脆弱性。悪用されるとリモートよりコードを実行されるおそれがある。

Ciscoでは「Cisco Webex Meetings Server」などコミュニケーション製品をはじめ、「Cisco Network Services Orchestrator」といったネットワーク管理製品、クラウドで提供されているDNSサービスの「Cisco Umbrella」など、現地時間12日の時点で22製品が影響を受けることを明らかにした。

クラウド認証サービス「Duo」については対策が完了したとしているが、他製品ではアップデートの提供がはじまっていない。さらにルータやスイッチなどのネットワーク製品、セキュリティ製品、クライアントなど、多くの製品が調査中の段階であり、さらに影響をが拡大する可能性がある。

同社が12月12日時点で影響を受けるとした製品は以下のとおり。また同社アドバイザリでは脆弱性の影響を受けないことが判明した39製品のリストもあわせて公開している。

Cisco Webex Meetings Server
Cisco Advanced Web Security Reporting Application
Cisco CloudCenter Suite Admin
Cisco Crosswork Change Automation
Cisco Evolved Programmable Network Manager
Cisco Integrated Management Controller (IMC) Supervisor
Cisco Intersight Virtual Appliance
Cisco Network Services Orchestrator (NSO)
Cisco WAN Automation Engine (WAE)
Cisco UCS Director
Cisco Computer Telephony Integration Object Server (CTIOS)
Cisco Packaged Contact Center Enterprise
Cisco Unified Contact Center Enterprise - Live Data server
Cisco Unified Contact Center Enterprise
Cisco Unified Intelligent Contact Management Enterprise
Cisco Unified SIP Proxy Software
Cisco Video Surveillance Operations Manager
Cisco Kinetic for Cities
Cisco Umbrella
Cisco Unified Communications Manager Cloud
Cisco Webex Cloud-Connected UC (CCUC)
Duo

（Security NEXT - 2021/12/13 ） ツイート

PR

関連記事

WAFルールセット「OWASP CRS」に深刻な脆弱性 - 「ModSecurity」とあわせて更新を
モジュール型WAF「ModSecurity」がアップデート - セキュリティ上の複数問題へ対処
Google、「Chrome 106」をリリース - セキュリティ関連で20件の修正
「FFmpeg」に脆弱性、悪意あるmp4ファイルでコード実行のおそれ
XMLパーサーのライブラリ「libexpat」に深刻な脆弱性
Forcepoint DLPにXXE脆弱性 - 複数製品に影響
開発言語「Go」に複数の脆弱性 - アップデートで修正
「Apache Calcite」の一部演算子処理に深刻な脆弱性
Sophos製ファイアウォールに深刻な脆弱性 - すでにゼロデイ攻撃も
DNSサーバ「BIND」に6件の脆弱性 - アップデートがリリース