「WebEx Meetings Server」などCisco複数製品に「Apache Log4j」由来の脆弱性
ロギングライブラリ「Apache Log4j」に深刻な脆弱性が明らかとなった問題で、Cisco Systemsは複数製品が影響を受けることを明らかにした。現在も調査が進められており、さらに影響が拡大する可能性もある。
問題とされる「CVE-2021-44228」は、多くのJavaアプリケーションでログの記録に活用されているライブラリ「Apache Log4j」に明らかとなった脆弱性。悪用されるとリモートよりコードを実行されるおそれがある。
Ciscoでは「Cisco Webex Meetings Server」などコミュニケーション製品をはじめ、「Cisco Network Services Orchestrator」といったネットワーク管理製品、クラウドで提供されているDNSサービスの「Cisco Umbrella」など、現地時間12日の時点で22製品が影響を受けることを明らかにした。
クラウド認証サービス「Duo」については対策が完了したとしているが、他製品ではアップデートの提供がはじまっていない。さらにルータやスイッチなどのネットワーク製品、セキュリティ製品、クライアントなど、多くの製品が調査中の段階であり、さらに影響をが拡大する可能性がある。
同社が12月12日時点で影響を受けるとした製品は以下のとおり。また同社アドバイザリでは脆弱性の影響を受けないことが判明した39製品のリストもあわせて公開している。
Cisco Webex Meetings Server
Cisco Advanced Web Security Reporting Application
Cisco CloudCenter Suite Admin
Cisco Crosswork Change Automation
Cisco Evolved Programmable Network Manager
Cisco Integrated Management Controller (IMC) Supervisor
Cisco Intersight Virtual Appliance
Cisco Network Services Orchestrator (NSO)
Cisco WAN Automation Engine (WAE)
Cisco UCS Director
Cisco Computer Telephony Integration Object Server (CTIOS)
Cisco Packaged Contact Center Enterprise
Cisco Unified Contact Center Enterprise - Live Data server
Cisco Unified Contact Center Enterprise
Cisco Unified Intelligent Contact Management Enterprise
Cisco Unified SIP Proxy Software
Cisco Video Surveillance Operations Manager
Cisco Kinetic for Cities
Cisco Umbrella
Cisco Unified Communications Manager Cloud
Cisco Webex Cloud-Connected UC (CCUC)
Duo
(Security NEXT - 2021/12/13 )
ツイート
PR
関連記事
「macOS」にアップデート - 多数脆弱性を解消
「Node.js」に脆弱性 - 各ブランチ向けにアップデート
「Microsoft Edge」にアップデート - ゼロデイ脆弱性を解消
「Chromium」や「SAP NetWeaver」の脆弱性悪用に警戒を - 米当局が注意喚起
IDと公開鍵を紐づける「OpenPubkey」に署名検証バイパスのおそれ
月例アドバイザリを公開、「クリティカル」含む新規16件 - SAP
OpenTextの監視ツールに脆弱性 - 権限昇格やPW不正変更のおそれ
IoT向けDB「Apache IoTDB」に脆弱性 - 4月の更新で修正済み
Adobe13製品にアップデート - クリティカル脆弱性を修正
Apple、「iOS/iPadOS 18.5」で30件以上の脆弱性へ対応
