日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco ATA 186 Analog Telephone Adaptorは、通常のアナログ電話とIPベースのテレフォニーネットワークとのインターフェイスとして機能する、ハンドセットとイーサネット間のアダプタです。アダプタは、従来の電話機をIP電話に変えます。
ATA-186にはWebベースの設定インターフェイスが備わっており、このインターフェイスでの認証は部分的に回避されています。巧妙に細工されたHTTP POST要求を使用すると、デバイスの設定がブラウザに返され、パスワードなどの設定情報が表示されます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
該当する製品は、Cisco ATA-186アナログ電話アダプタです。ビルド020514aより前のすべてのリリースが影響を受けます。
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
CSCdx54579:巧妙に細工された単純なHTTP POST要求により、ATA-186で設定画面が表示される場合があります。デバイスはパスワードをハッシュしないため、この画面から実際のパスワードを取得できます。適切なパラメータを使用してHTTP POSTを構築することで、デバイスをこの方法で再設定することもできます。
回避策
既知の回避策はありません。ソフトウェアのアップグレードが必要です。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
この表では、ソフトウェアバージョンと修正について説明します。
|
該当バージョン |
修正済み正規リリース(現在利用可能)以降のすべてのバージョンに修正が適用されます。 |
|---|---|
|
ビルド020514aの前 |
ata186-v2-14-020514a-2.zip(H.323/SIPイメージ)ata186-v2-14-ms-020514a-2.zip(SCCP/MGCPイメージ) |
推奨事項
不正利用事例と公式発表
この脆弱性は、2002-05-09(http://online.securityfocus.com/archive/1/271973)のBUGTRAQメーリングリストで、誰でも欠陥を行使できる十分な情報とともに発表されました。
Cisco PSIRTには、この脆弱性が悪用されたという報告はありません。
URL
改訂履歴
|
リビジョン 1.2 |
2004年3月29日 |
「ソフトウェアバージョンと修正」の表にソフトウェア修正への直接リンクを追加。 |
|
リビジョン 1.1 |
2002年7月31日 |
ステータスを「暫定」から「確定」に変更します。 |
|
リビジョン 1.0 |
2002年5月23日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。