Cisco Systems

特定のバージョンのIOSを搭載したCiscoプロダクトのうち、SIP(Session Initiation Protocol)を処理する設定になっている状態のものにセキュリティ脆弱性があることを「Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerability」が伝えた。このセキュリティ脆弱性を修正するためのソフトウェアが配布されており、該当している場合には適用が推奨される。

これはCisco IOSのSIP実装に問題があったというもので、認証されていない任意のユーザがリモートから攻撃を仕掛け、システムを不安定にすることでメモリリークを発生させたりリロードを実施させるといったことができるという。該当しているバージョンのIOSであっても、SIPを利用しない設定になっている場合にはこの脆弱性の影響は受けない。この問題を一時的に回避する方法はないと説明がある。

このセキュリティ脆弱性の影響を受けるCisco ISOのバージョンは「15.1(4)GC」「15.1(4)GC1」「15.1(4)M4」「15.1(4)M5」「15.1(4)M6」とされている。最近リリースされたバージョンのCisco IOSではデフォルトの設定ではSIPは無効になっているが、「diali-peer voice」設定などを有効にするとSIPが有効になるなど、特定の機能を有効にすることで自動的にSIPの機能が有効になるものがあり注意が必要。