High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Unified Contact Center Express(UCCXまたはUnified CCX)には、サービス拒否(DoS)の脆弱性とディレクトリトラバーサルの脆弱性が存在します。これらの脆弱性は相互に関連していません。
これらの脆弱性が悪用されると、DoS状態が発生したり、情報が漏洩する可能性があります。
シスコは、Cisco Unified Contact Center製品の最新バージョンでこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20100609-uccx で公開されています。
該当製品
Cisco UCCXは、最大300のエージェントの導入に使用できる統合「コンタクトセンターインアボックス」ソリューションです。
脆弱性のある製品
このドキュメントで説明されている脆弱性は、次の製品に影響を与えます。
-
Cisco UCCXバージョン5.x、6.x、7.x
-
Cisco Customer Response Solution(CRS)バージョン5.x、6.x、および7.x
-
Cisco Unified IP Interactive Voice Response(Cisco Unified IP IVR)バージョン5.x、6.x、および7.x
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
DoS脆弱性は、Cisco UCCX製品のコンピュータテレフォニーインテグレーション(CTI)サーバコンポーネントに存在します。CTIサーバは、Integrated Call Distribution(ICD)ライセンスが有効になっているときにのみ起動します。Cisco Unified IP Interactive Voice Response(Cisco Unified IP IVR)の展開は、CTIサーバのDoS脆弱性の影響を受けません。CTIサーバはデフォルトでTCPポート42027をリッスンしますが、ポート番号はSystem Port Parameters画面で変更できます。この脆弱性は、脆弱性のあるシステムに送信される不正なCTIメッセージによって引き起こされます。これにより、CTIサーバとCisco Unified CCX Node Managerに障害が発生し、すべてのアクティブなエージェントがログアウトされる可能性があります。ノードマネージャとCTIサーバの自動再起動が完了すると、DoS状態は一時的になり、Cisco UCCXシステムは再び動作可能になります。
この脆弱性は、Cisco Bug ID CSCso89629 (登録ユーザ専用)として文書化され、CVE IDとしてCVE-2010-1570が割り当てられています。
ディレクトリトラバーサルの脆弱性
ディレクトリトラバーサルの脆弱性は、Cisco UCCX製品のブートストラップサービスに存在し、システム上の任意のファイルへの読み取りアクセスを許可します。この脆弱性は、TCPポート6295宛てのブートストラップメッセージによって引き起こされます。ブートストラップサービスは、ハイアベイラビリティ導入モデルのサーバ間でUCCX設定を同期させるために使用されます。ICD、ICM、IP-IVRなどのすべての導入モードが影響を受ける可能性がありますが、これは設定に2番目のノードが追加されている場合に限られます。(ノードをリストするには、Cisco UCCX Administration Webインターフェイスで、SystemプルダウンタスクバーのServerオプションを使用します)。ハイアベイラビリティライセンスは、システムに脆弱性が存在する場合には必要ありません。
この脆弱性は、Cisco Bug ID CSCsx76165 (登録ユーザ専用)として文書化され、CVE IDとしてCVE-2010-1571が割り当てられています。
回避策
これらの脆弱性に対する回避策はありません。
ネットワーク内のCiscoデバイスに適用可能な他の緩和策については、このアドバイザリに関連するCisco適用対応策速報(https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20100609-uccx)を参照してください。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
次の表に、このドキュメントで説明されている脆弱性の影響を受けるCisco UCCXのバージョンを示します。すべての脆弱性は、製品の最新バージョンで修正されています。
CSCso89629 CTIサービスのDoS脆弱性(Cisco UCCX)
|
Release |
Vulnerable |
最初の修正: |
|---|---|---|
|
8.0 |
脆弱性なし |
|
|
7.0 |
Vulnerable |
7.0(1)SR4、7.0(2) |
|
6.0 |
Vulnerable |
6.0(1)SR1 |
|
5.0 |
Vulnerable |
5.0(2)SR3 |
CSCsx76165ブートストラップサービス情報漏えいの脆弱性(Cisco UCCX)
|
Release |
Vulnerable |
最初の修正: |
|---|---|---|
|
8.0 |
脆弱性なし |
|
|
7.0 |
Vulnerable |
7.0(1)SR2、7.0(2) |
|
6.0 |
Vulnerable |
修正済みリリースへの更新 |
|
5.0 |
Vulnerable |
5.0(2)SR3 |
推奨事項
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。
DoS脆弱性はシスコ内部でのテストによって発見され、ブートストラップサービスのディレクトリトラバーサルの脆弱性は、お客様からCisco Technical Assistance Center(TAC)に報告されました。
URL
改訂履歴
|
リビジョン 1.0 |
2010年6月9日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。