シスコ製品にApache Strutsの脆弱性、アップデートを
米シスコシステムズは12月15日(米国時間)、「Apache Struts Vulnerability Affecting Cisco Products: December 2023」において、Apache Strutsの脆弱性が同社製品にも影響を与えるとしてセキュリティアドバイザリを公開した。Apache Strutsの脆弱性は2023年12月7日に公開された脆弱性で、悪用されると攻撃者によって悪意のあるファイルがアップロードされ、リモートコードが実行される可能性がある(参考:「Apache Strutsにリモートコード実行の脆弱性、速やかに更新を | TECH+(テックプラス)」)。
Apache Struts Vulnerability Affecting Cisco Products: December 2023
○Apache Strutsの脆弱性の影響を受ける製品とバージョン
この脆弱性の影響を受けることが確認された製品およびバージョンは次のとおり。
Identity Services Engine Release 3.1より前のバージョン
Unified SIP Proxy Software(調査、修正中)
○Apache Strutsの脆弱性が修正された製品とバージョン
この脆弱性が修正された製品およびバージョンは次のとおり。
Identity Services Engine Release 3.1およびこれ以降のバージョン
○Apache Strutsの脆弱性の影響を受けない製品とバージョン
この脆弱性の影響を受けないことが確認された製品は次のとおり。
Security Manager
Nexus Dashboard Fabric Controller(旧Data Center Network Manager)
Prime Access Registrar
Prime Collaboration Assurance
Prime Collaboration Provisioning
Prime Infrastructure
Computer Telephony Integration Object Server
Enterprise Chat and Email
Hosted Collaboration Mediation Fulfillment
Packaged Contact Center Enterprise
Unified Contact Center Enterprise
Unified Contact Center Enterprise - Live Data server
Unified Customer Voice Portal
Unified Intelligent Contact Management Enterprise
Unity Connection
○Apache Strutsの脆弱性の影響を調査週の製品
このセキュリティ脆弱性の影響を受けると予想され、調査中の製品は次のとおり。
Customer Collaboration Platform(旧SocialMiner)
Prime License Manager
Prime Service Catalog
Emergency Responder
Finesse
Unified Communications Manager / Unified Communications Manager Session Management Edition
Unified Communications Manager IM & Presence Service
Unified Contact Center Express
Unified Intelligence Center
Virtualized Voice Browser
Ciscoはクラウドベースの製品について、これまでに脆弱性の影響を確認した製品はないが、今後の調査で影響が確認された場合は必要に応じて修復するとしている。また、この脆弱性はすでに概念実証(PoC: Proof of Concept)コードが公開されているため、注意を呼びかけている。
Apache Strutsの脆弱性の対策
この脆弱性はシスコ製品に対する深刻度として緊急(Critical)と評価されており、注意が必要。該当する製品を使用している管理者は、シスコのアドバイザリから影響の有無を確認し、必要に応じてアップデートすることが望まれている。
シスコは製品のアップデート前の注意点として、デバイスに十分なメモリが搭載されているか確認し、現在のハードウェア、ソフトウェアの構成が新しいバージョンの製品で適切にサポートされているかを確認する必要があるとしている。判断ができない場合はテクニカルアシスタンスセンター(TAC: Technical Assistance Center)に問い合わせることを推奨している。
○Apache Strutsの脆弱性の影響を受ける製品とバージョン
この脆弱性の影響を受けることが確認された製品およびバージョンは次のとおり。
Identity Services Engine Release 3.1より前のバージョン
Unified SIP Proxy Software(調査、修正中)
○Apache Strutsの脆弱性が修正された製品とバージョン
この脆弱性が修正された製品およびバージョンは次のとおり。
Identity Services Engine Release 3.1およびこれ以降のバージョン
○Apache Strutsの脆弱性の影響を受けない製品とバージョン
この脆弱性の影響を受けないことが確認された製品は次のとおり。
Security Manager
Nexus Dashboard Fabric Controller(旧Data Center Network Manager)
Prime Access Registrar
Prime Collaboration Assurance
Prime Collaboration Provisioning
Prime Infrastructure
Computer Telephony Integration Object Server
Enterprise Chat and Email
Hosted Collaboration Mediation Fulfillment
Packaged Contact Center Enterprise
Unified Contact Center Enterprise
Unified Contact Center Enterprise - Live Data server
Unified Customer Voice Portal
Unified Intelligent Contact Management Enterprise
Unity Connection
○Apache Strutsの脆弱性の影響を調査週の製品
このセキュリティ脆弱性の影響を受けると予想され、調査中の製品は次のとおり。
Customer Collaboration Platform(旧SocialMiner)
Prime License Manager
Prime Service Catalog
Emergency Responder
Finesse
Unified Communications Manager / Unified Communications Manager Session Management Edition
Unified Communications Manager IM & Presence Service
Unified Contact Center Express
Unified Intelligence Center
Virtualized Voice Browser
Ciscoはクラウドベースの製品について、これまでに脆弱性の影響を確認した製品はないが、今後の調査で影響が確認された場合は必要に応じて修復するとしている。また、この脆弱性はすでに概念実証(PoC: Proof of Concept)コードが公開されているため、注意を呼びかけている。
Apache Strutsの脆弱性の対策
この脆弱性はシスコ製品に対する深刻度として緊急(Critical)と評価されており、注意が必要。該当する製品を使用している管理者は、シスコのアドバイザリから影響の有無を確認し、必要に応じてアップデートすることが望まれている。
シスコは製品のアップデート前の注意点として、デバイスに十分なメモリが搭載されているか確認し、現在のハードウェア、ソフトウェアの構成が新しいバージョンの製品で適切にサポートされているかを確認する必要があるとしている。判断ができない場合はテクニカルアシスタンスセンター(TAC: Technical Assistance Center)に問い合わせることを推奨している。