Cisco Identity Services Engineに複数の脆弱性

最終更新日: 2022/11/24

情報源

CISA Current Activity
Cisco Releases Security Updates for Identity Services Engine
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/cisco-releases-security-updates-identity-services-engine

概要

Cisco Identity Services Engineには、複数の脆弱性があります。結果として、遠隔の攻撃者がアクセス許可されていないシステムファイルへアクセスするなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。

– Cisco Identity Services Engine 2.4系およびそれ以前のバージョン
– Cisco Identity Services Engine 2.6系のバージョン
– Cisco Identity Services Engine 2.7系のバージョン
– Cisco Identity Services Engine 3.0系のバージョン
– Cisco Identity Services Engine 3.1系のバージョン
– Cisco Identity Services Engine 3.2系のバージョン

2022年11月24日時点で、CVE-2022-20956およびCVE-2022-20959を修正するアップデートが公開されていないバージョンもあります。Ciscoが公開している緩和策を適用の上、アップデート公開後には速やかに適用することを推奨します。
詳細は、Ciscoが提供する情報を参照してください。

関連文書(英語)

Cisco

Cisco Security Advisories
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-access-contol-EeufSUCx

Cisco

Cisco Security Advisories
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-xss-twLnpy3M

 

引用元:JPCERT/CC
「JPCERT/CC WEEKLY REPORT 2022-11-24」
https://www.jpcert.or.jp/wr/