シスコシステムズから複数のセキュリティアドバイザリーが発行された。脆弱性に関する情報は次のページからたどることができる。
シスコ製品が抱えている脆弱性の概要
シスコからは短期間に比較的多くのセキュリティアドバイザリーが発行される傾向が続いている。この1週間で発行または更新された脆弱性は次のとおり。
- 【緊急】 2024年02月05日 CVE-2024-20272 Cisco Unity Connection 認証されていない任意ファイルアップロードの脆弱性
- 【緊急】 2024年02月07日 CVE-2024-20252、CVE-2024-20254、CVE-2024-20255 Cisco Expressway Series クロスサイトリクエストフォージェリー(CSRF: Cross-Site Request Forgery)の脆弱性
- [重要] 2024年02月07日 CVE-2024-20290 ClamAV OLE2 ファイルフォーマットパースによるサービス運用妨害(DoS: Denial of Service)の脆弱性
- 警告 2024年02月06日 CVE-2023-20246複数のCisco製品におけるSnort 3アクセス制御ポリシーバイパスの脆弱性
深刻度の高いセキュリティ脆弱性
この1週間で発行された脆弱性のうち、次の製品の脆弱性は緊急(Critical)と評価されていることから特に注意が必要。
- Cisco Expressway 14.0よりも前のバージョン
- Cisco Expressway 14.0
- Cisco Expressway 15.0
- Cisco Unity Connection 12.5よりも前のバージョン
- Cisco Unity Connection 14
脆弱性が修正された製品およびバージョンや次のとおり。
- Cisco Expressway 14.3.4
- Cisco Expressway 15.0.0
- Cisco Unity Connection 14 ciscocm.cuc.CSCwh14380_C0208-1.cop.sha5121
該当する製品を使用している場合には上記セキュリティアドバイザリーから内容の確認を実施しておきたい。
再度の確認を
この1週間で発行または更新されたセキュリティアドバイザリーは4個で、このうち2個は深刻度が緊急(Critical)、1個は深刻度が重要(High)に分類されており注意が必要。公開済みのセキュリティアドバイザリーがアップデートされるほか、同じ製品であっても短い間隔で別のセキュリティアドバイザリーが発行されることがある。シスコ製品を使っている場合、掲載されているリストを日付などで整理しながら漏れなくチェックすることが望まれる。