シスコ製スイッチに緊急の脆弱性、ただちに対応を
シスコシステムズから複数のセキュリティアドバイザリが発行された。脆弱性に関する情報は次のページからたどることができる。
Security Advisories
シスコシステムズからは短期間に比較的多くのセキュリティアドバイザリが発行される傾向が続いている。この1週間で発行または更新された脆弱性は次のとおり。
【緊急】 2023年05月17日 CVE-2023-20024,CVE-2023-20156,CVE-2023-20157,CVE-2023-20158,CVE-2023-20159,CVE-2023-20160,CVE-2023-20161,CVE-2023-20162,CVE-2023-20189 Cisco Small Business Series Switches バッファオーバーフローの脆弱性
[重要] 2023年05月11日 CVE-2023-20082 Cisco IOS XE Software for Cisco Catalyst 9300 Series Switches セキュアブートバイパスの脆弱性
警告 2023年05月15日 CVE-2023-20127,CVE-2023-20129,CVE-2023-20130,CVE-2023-20131 Cisco Prime Infrastructure and Cisco Evolved Programmable Network Managerの脆弱性
警告 2023年05月17日 CVE-2023-20003 Cisco Business Wireless Access Points Social Login Guest User Authentication バイパスの脆弱性
警告 2023年05月17日 CVE-2023-20182,CVE-2023-20183,CVE-2023-20184 Cisco DNA Center Software APIの脆弱性
警告 2023年05月17日 CVE-2022-20864 Cisco IOS XE ROM Monitor Software for Catalyst Switches情報漏洩の脆弱性
警告 2023年05月17日 CVE-2023-20106,CVE-2023-20171,CVE-2023-20172 Cisco Identity Services Engine任意ファイル削除および読み込みの脆弱性
警告 2023年05月17日 CVE-2023-20077,CVE-2023-20087 Cisco Identity Services Engine任意ファイルダウンロードの脆弱性
警告 2023年05月17日 CVE-2023-20163,CVE-2023-20164 Cisco Identity Services Engine Commandインジェクションの脆弱性
警告 2023年05月17日 CVE-2023-20166,CVE-2023-20167 Cisco Identity Services Engineパストラバーサルの脆弱性
警告 2023年05月17日 CVE-2023-20173,CVE-2023-20174 Cisco Identity Services Engine XML External Entityインジェクションの脆弱性
警告 2023年05月17日 CVE-2023-20110 Cisco Smart Software Manager On-Prem SQLインジェクションの脆弱性
この1週間で発行または更新されたセキュリティアドバイザリは12個で、このうち1個は深刻度が緊急(Critical)、1個は深刻度が重要(High)に分類されている。
特に小企業向けのスイッチに発見されたバッファオーバーフローの脆弱性には注意が必要。こ脆弱性の共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)スコア値は9.8で、深刻度が緊急(Critical)と評価されている(参考「Cisco Small Business Series Switches Buffer Overflow Vulnerabilities」)。
脆弱性の影響を受けるとされる製品は次のとおり。
250シリーズスマートスイッチ
350シリーズマネージドスイッチ
350Xシリーズスタッカブルマネージドスイッチ
550Xシリーズスタッカブルマネージドスイッチ
Business 250シリーズスマートスイッチ
Business 350シリーズマネージドスイッチ
Small Business 200シリーズスマートスイッチ
Small Business 300シリーズマネージドスイッチ
Small Business 500シリーズスタッカブルマネージドスイッチ
一部の製品については修正したファームウェアが公開されているが、それ以外の製品はサポート終了(EOL: End-of-Life)に達していることからファームウェアの提供は行われない。アップデートが提供されていないスイッチは、サポートが提供されているプロダクトへ移行するなどの対応を取ることが望まれる。
シスコは公開済みのセキュリテアドバイザリをアップデートしたり、同じ製品であっても短い間隔で別のセキュリティアドバイザリを発行したりすることがある。同社の製品を使っている場合、掲載されているリストを日付などで整理しながら漏れなくチェックすることが望まれる。
Security Advisories
シスコシステムズからは短期間に比較的多くのセキュリティアドバイザリが発行される傾向が続いている。この1週間で発行または更新された脆弱性は次のとおり。
【緊急】 2023年05月17日 CVE-2023-20024,CVE-2023-20156,CVE-2023-20157,CVE-2023-20158,CVE-2023-20159,CVE-2023-20160,CVE-2023-20161,CVE-2023-20162,CVE-2023-20189 Cisco Small Business Series Switches バッファオーバーフローの脆弱性
警告 2023年05月15日 CVE-2023-20127,CVE-2023-20129,CVE-2023-20130,CVE-2023-20131 Cisco Prime Infrastructure and Cisco Evolved Programmable Network Managerの脆弱性
警告 2023年05月17日 CVE-2023-20003 Cisco Business Wireless Access Points Social Login Guest User Authentication バイパスの脆弱性
警告 2023年05月17日 CVE-2023-20182,CVE-2023-20183,CVE-2023-20184 Cisco DNA Center Software APIの脆弱性
警告 2023年05月17日 CVE-2022-20864 Cisco IOS XE ROM Monitor Software for Catalyst Switches情報漏洩の脆弱性
警告 2023年05月17日 CVE-2023-20106,CVE-2023-20171,CVE-2023-20172 Cisco Identity Services Engine任意ファイル削除および読み込みの脆弱性
警告 2023年05月17日 CVE-2023-20077,CVE-2023-20087 Cisco Identity Services Engine任意ファイルダウンロードの脆弱性
警告 2023年05月17日 CVE-2023-20163,CVE-2023-20164 Cisco Identity Services Engine Commandインジェクションの脆弱性
警告 2023年05月17日 CVE-2023-20166,CVE-2023-20167 Cisco Identity Services Engineパストラバーサルの脆弱性
警告 2023年05月17日 CVE-2023-20173,CVE-2023-20174 Cisco Identity Services Engine XML External Entityインジェクションの脆弱性
警告 2023年05月17日 CVE-2023-20110 Cisco Smart Software Manager On-Prem SQLインジェクションの脆弱性
この1週間で発行または更新されたセキュリティアドバイザリは12個で、このうち1個は深刻度が緊急(Critical)、1個は深刻度が重要(High)に分類されている。
特に小企業向けのスイッチに発見されたバッファオーバーフローの脆弱性には注意が必要。こ脆弱性の共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)スコア値は9.8で、深刻度が緊急(Critical)と評価されている(参考「Cisco Small Business Series Switches Buffer Overflow Vulnerabilities」)。
脆弱性の影響を受けるとされる製品は次のとおり。
250シリーズスマートスイッチ
350シリーズマネージドスイッチ
350Xシリーズスタッカブルマネージドスイッチ
550Xシリーズスタッカブルマネージドスイッチ
Business 250シリーズスマートスイッチ
Business 350シリーズマネージドスイッチ
Small Business 200シリーズスマートスイッチ
Small Business 300シリーズマネージドスイッチ
Small Business 500シリーズスタッカブルマネージドスイッチ
一部の製品については修正したファームウェアが公開されているが、それ以外の製品はサポート終了(EOL: End-of-Life)に達していることからファームウェアの提供は行われない。アップデートが提供されていないスイッチは、サポートが提供されているプロダクトへ移行するなどの対応を取ることが望まれる。
シスコは公開済みのセキュリテアドバイザリをアップデートしたり、同じ製品であっても短い間隔で別のセキュリティアドバイザリを発行したりすることがある。同社の製品を使っている場合、掲載されているリストを日付などで整理しながら漏れなくチェックすることが望まれる。
