High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Unified Communications Managerにはディレクトリトラバーサルの脆弱性があり、認証されていないリモートの攻撃者がファイルシステムから任意のファイルを取得できる可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。
この脆弱性を軽減する回避策はありません。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-cucm で公開されています。Cisco Unified Contact Center ExpressおよびCisco Unified IP Interactive Voice Responseもこの脆弱性の影響を受けます。また、別のアドバイザリがhttps://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-uccxで公開されています。
注:2011年10月18日以降、シスコはCisco PSIRTが公開する最新のCisco Security Advisories and Responsesのリストを移動しました。新しい場所はhttps://sec.cloudapps.cisco.com/security/center/publicationListingです。また、Cisco Security(SIO)ポータルのCisco Products and Servicesメニューからこのページに移動することもできます。この移行に伴い、新しいCisco Security Advisories and Responsesが新しい場所に公開されます。URLは変更されていますが、セキュリティドキュメントの内容と脆弱性ポリシーは影響を受けません。シスコは、公開されているセキュリティ脆弱性ポリシーに従って、セキュリティ脆弱性の開示を継続します。
該当製品
脆弱性のある製品
次の製品は、この脆弱性に該当します。
- Cisco Unified Communications Manager 6.x
- Cisco Unified Communications Manager 7.x
- Cisco Unified Communications Manager 8.x
注:Cisco Unified Communications Managerバージョン5.1は、2010年2月13日にソフトウェアメンテナンスが終了しています。Cisco Unified Communications Manager 5.xバージョンをご使用のお客様は、サポートされているCisco Unified Communications Managerのバージョンへのアップグレードに関してシスコサポートチームにお問い合わせください。
脆弱性を含んでいないことが確認された製品
Cisco Unified Communications Manager 4.xは、この脆弱性の影響を受けません。
Cisco Unified Contact Center ExpressおよびCisco Unified IP Interactive Voice Responseを除き、この脆弱性の影響を受けるシスコ製品は現在確認されていません。
詳細
Cisco Unified Communications Managerは、Cisco IP Telephonyソリューションのコール処理コンポーネントであり、企業のテレフォニー機能を、IP電話、メディア処理デバイス、VoIPゲートウェイ、マルチメディアアプリケーションなどのパケットテレフォニーネットワークデバイスに拡張します。
Cisco Unified Communications ManagerおよびCisco Unified Contact Center Expressのディレクトリトラバーサルの脆弱性
Cisco Unified Communications Manager、Cisco Unified Contact Center Express、およびCisco Unified IP Interactive Voice Responseにはディレクトリトラバーサルの脆弱性があり、認証されていないリモートの攻撃者がファイルシステムから任意のファイルを取得する可能性があります。
注:Cisco Unified Communications Manager Webサービスはポート8080で動作します。
このアドバイザリは、Cisco Unified Communications Managerの脆弱性に対処するもので、Cisco Bug ID CSCth09343(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-3315が割り当てられています。回避策
この脆弱性に対する回避策はありません。
ネットワーク内のシスコデバイスに適用可能な対応策は、このアドバイザリの付属ドキュメントである『Cisco Applied Intelligence』にて参照できます。https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20111026-cucm-uccx
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
| Cisco Unified Communications Managerのバージョン | 第 1 修正済みリリース |
| 6.x | 6.1(5)SU2 |
| 7.x | 7.1(5b)SU2 |
| 8.0 | 8.0(3) |
| 8.5 | 脆弱性なし |
| 8.6 | 脆弱性なし |
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は、Recurity LabsのFelix「FX」Lindner氏によってシスコに報告されました。
URL
改訂履歴
| リビジョン 1.1 | 2011年10月26日 | AMB URLを修正。 |
| リビジョン 1.0 | 2011年10月26日 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。