複数の Cisco 製品に脆弱性

最終更新日: 2020/11/27

情報源

CISA Current Activity
Cisco Releases Security Updates for Security Manager
https://us-cert.cisa.gov/ncas/current-activity/2020/11/17/cisco-releases-security-updates-security-manager

CISA Current Activity

Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/11/19/cisco-releases-security-updates-multiple-products

概要

複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
影響度 Critical および High の脆弱性情報に記載されている製品は次のとおりです。

– Cisco Security Manager

– Cisco Integrated Management Controller (IMC) が稼働する次の製品
– 5000 Series Enterprise Network Compute System (ENCS) Platforms
– UCS C-Series Rack Servers in standalone mode
– UCS E-Series Servers
– UCS S-Series Servers in standalone mode

– Cisco DNA Spaces Connector software
– Cisco IoT Field Network Director (FND)
– Cisco AsyncOS for the Secure Web Appliance

※製品によって、影響を受ける条件が異なります。また、上記製品以外にも、影響度 Medium の複数の脆弱性情報が公開されています。詳細は、Cisco が提供する情報を参照してください。
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Cisco Security Manager の複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200043.html

関連文書(英語)

Cisco

Cisco Security Manager Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR

Cisco

Cisco Security Manager Static Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-rce-8gjUz9fW

Cisco

Cisco Security Manager Java Deserialization Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-java-rce-mWJEedcD

Cisco

Cisco Integrated Management Controller Multiple Remote Code Execution Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucs-api-rce-UXwpeDHd

Cisco

Cisco DNA Spaces Connector Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dna-cmd-injection-rrAYzOwc

Cisco

Cisco IoT Field Network Director Unauthenticated REST API Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-FND-BCK-GHkPNZ5F

Cisco

Cisco Secure Web Appliance Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-prv-esc-nPzWZrQj

Cisco

Cisco IoT Field Network Director SOAP API Authorization Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-FND-AUTH-vEypBmmR

Cisco

Cisco IoT Field Network Director Missing API Authentication Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-FND-APIA-xZntFS2V

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-11-26」
https://www.jpcert.or.jp/wr/2020/wr204601.html