シスコシステムズから複数のセキュリティアドバイザリーが発行された。脆弱性に関する情報は次のページからたどることができる。

  • Security Advisories

    Security Advisories

シスコ製品が抱えている脆弱性の概要

シスコからは短期間に比較的多くのセキュリティアドバイザリーが発行される傾向が続いている。この1週間で発行または更新された脆弱性は次のとおり。

  • 【緊急】 2024年03月12日 CVE-2023-20214 Cisco SD-WAN vManage認証されていないAPIアクセスの脆弱性
  • [重要] 2024年03月12日 CVE-2024-20337 Cisco Secure Client Carriage改行(Return Line)フィードインジェクションの脆弱性
  • [重要] 2024年03月13日 CVE-2024-20327 Cisco IOS XR Software for ASR 9000シリーズアグリゲーションサービスルータPPPoEサービス運用妨害の脆弱性
  • [重要] 2024年03月13日 CVE-2024-20320 Cisco IOS XR Software SSH特権昇格の脆弱性
  • [重要] 2024年03月13日 CVE-2024-20318 Cisco IOS XR Softwareレイヤー2サービス運用妨害の脆弱性
  • 警告 2024年03月08日 CVE-2024-20292 Cisco Duo Authentication for Windows Logon and RDP情報漏洩いの脆弱性
  • 警告 2024年03月13日 CVE-2024-20315、CVE-2024-20322 Cisco IOS XR Software MPLS and Pseudowireインタフェースアクセス制御リストバイパスの脆弱性
  • 警告 2024年03月13日 CVE-2024-20266 Cisco IOS XR Software DHCP Version 4サーバサービス運用妨害の脆弱性
  • 警告 2024年03月13日 CVE-2024-20262 Cisco IOS XR Software認証済みCLI Secure Copy ProtocolおよびSFTPのサービス運用妨害脆弱性
  • 警告 2024年03月13日 CVE-2024-20319 Cisco IOS XR Software SNMP Management Plane Protectionアクセス制御リストバイパスの脆弱性
  • 警告 2024年03月14日 CVE-2023-20236 Cisco IOS XR Software iPXEブートシグネチャバイパスの脆弱性

すでに公開されているセキュリティアドバイザリーがアップデートされたり、同じ製品であっても短い間隔で別のセキュリティアドバイザリーが発行されたりすることがある。シスコ製品を使っている場合、掲載されているリストを日付などで整理しながら漏れなくチェックすることが望まれる。

深刻度の高い脆弱性

この1週間で発行された脆弱性のうち、次の製品の脆弱性は緊急(Critical)と評価されていることから注意が必要。

  • Cisco SD-WAN vManage 20.6.3.3
  • Cisco SD-WAN vManage 20.6.4
  • Cisco SD-WAN vManage 20.6.5
  • Cisco SD-WAN vManage 20.7
  • Cisco SD-WAN vManage 20.8
  • Cisco SD-WAN vManage 20.9
  • Cisco SD-WAN vManage 20.10
  • Cisco SD-WAN vManage 20.11

脆弱性が修正された製品およびバージョンは次のとおり。

  • Cisco SD-WAN vManage 20.6.3.4
  • Cisco SD-WAN vManage 20.6.4.2
  • Cisco SD-WAN vManage 20.6.5.5
  • Cisco SD-WAN vManage 20.9.3.2
  • Cisco SD-WAN vManage 20.10.1.2
  • Cisco SD-WAN vManage 20.11.1.2

該当する製品を使用している場合は、上記のセキュリティアドバイザリで内容を確認しておきたい。なお、「Cisco SD-WAN vManage 20.7」および「Cisco SD-WAN vManage 20.8」に関しては修正版が公開されておらず、問題が修正された他のバージョンへ移行するように求められている。

再度の確認を

この1週間で発行または更新されたセキュリティアドバイザリーは11個で、このうち1個は深刻度が緊急(Critical)、4個は深刻度が重要(High)に分類されており注意が必要。米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁は、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。