シスコ製品に影響を及ぼす Java 非シリアル化の脆弱性

ダウンロード オプション

  • PDF     (231.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2019 年 1 月 11 日
Document ID:212118

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

High

High

 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Apache Commons Collections(ACC)ライブラリで使用される Java 逆シリアル化の脆弱性により、認証されていないリモート攻撃者が任意のコードを実行する可能性があります。

この脆弱性の原因は、該当ソフトウェアでユーザが入力したコンテンツが安全に逆シリアル化されないことにあります。 攻撃者は、この脆弱性を不正利用し、ACC ライブラリを使用しているターゲット システム上のアプリケーションに巧妙に細工された入力を送信する可能性があります。 該当システム上の脆弱なライブラリによってコンテンツが逆シリアル化されると、攻撃者はシステム上で任意のコードを実行し、そのコードを使用してさらなる攻撃を行う可能性があります。

2015 年 11 月 6 日、Foxglove Security Group は、ACC ライブラリの複数のリリースに影響するリモート コード実行の脆弱性に関する情報を公開しました。 このレポートには、WebSphere アプリケーション サーバ、JBoss、Jenkins、OpenNMS、WebLogic を含むさまざまなアプリケーション向けの詳細な概念実証コードが含まれています。 これはリモートから不正利用できる脆弱性で、攻撃者が悪意のあるコードを挿入したり、サーバ上に存在する任意のコマンドを実行したりすることを可能にします。 攻撃者による機密情報の取得をはじめ、さまざまな影響が考えられます。

オブジェクトのシリアル化はオブジェクトを転送のためにビットのシーケンスに変換する技術で、多くのプログラミング言語で使用されます。 逆シリアル化はこれらのビットをオブジェクトに再構成する技術です。 この脆弱性は、ネットワーク転送のための Java オブジェクトのシリアル化と受信側でのオブジェクトの逆シリアル化で発生します。

多くのアプリケーションは、ネットワークから転送されてきたシリアル化オブジェクトを、逆シリアル化の前に入力検証チェックを実行せずに受け入れます。 そのため、巧妙に細工されたシリアル化オブジェクトは、攻撃者による任意のコードの実行につながる可能性があります。

これは本質的には Java プログラミング言語のシリアル化および非シリアル化機能の問題ですが、ACC ライブラリはこの脆弱性の影響を受けることが知られています。 アプリケーションやアプリケーション フレームワークは、ACC ライブラリを使ってユーザが入力した任意の Java シリアル化オブジェクトを逆シリアル化する場合には、脆弱になる可能性があります。

脆弱性についての詳細は、次のリンクを参照してください。

脆弱性に関する CERT からの公式の注意事項
Foxglove Security
Apache Commons のステートメント
オラクル社の Security Alert

シスコでは、この脆弱性に対処するソフトウェア アップデートをリリースする予定です。 この脆弱性に対処する回避策はありません。

このアドバイザリは、次のリンクより確認できます。
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization

該当製品

調査中の製品

現在、本アドバイザリに記載された脆弱性の影響に関して以下の製品を調査中です。

音声およびユニファイド コミュニケーション デバイス
  • Cisco Unified Integration for IBM Sametime
  • Cisco Unified Workforce Optimization

ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス
  • Cisco TelePresence 1310
  • Cisco TelePresence System 1000
  • Cisco TelePresence System 1100
  • Cisco TelePresence System 1300
  • Cisco TelePresence System 3000 Series
  • Cisco TelePresence System 500-32
  • Cisco TelePresence System 500-37
  • Cisco TelePresence TX 9000 Series

脆弱性のある製品

次の表に、本アドバイザリに記載された脆弱性の影響を受けるシスコ製品を示します。



Product Defect Fixed releases availability
ケーブル モデム
Cisco WebEx Meetings Server versions 1.x CSCux17638
Cisco WebEx Meetings Server versions 2.x CSCux17638
Digital Life RMS 1.8.1.1 Cisco Broadband Access Center Telco Wireless 3.8.1 CSCux34660
Collaboration and Social Media
Cisco SocialMiner CSCux34833
Cisco WebEx Meetings CSCux21425
Network Application, Service, and Acceleration
Cisco InTracer CSCux35041
Cisco Network Admission Control (NAC) CSCux35101
Cisco Visual Quality Experience Server CSCux34725
Cisco Visual Quality Experience Tools Server CSCux34725
Network and Content Security Devices
Cisco ASA CX と Cisco Prime Security Manager CSCux34742
Cisco Clean Access Manager CSCux34981
Cisco Identity Services Engine(ISE) CSCux35116
Cisco NAC Appliance(Clean Access Server) CSCux34982
Cisco NAC Server CSCux34983
Cisco Secure Access Control System(ACS) CSCux34781
Network Management and Provisioning
Cisco Access Registrar アプライアンス CSCux34652
Cisco Cloupia Unified Infrastructure Controller CSCux35070
Cisco Configuration Professional CSCux35040
Cisco Digital Media Manager CSCux34692
Cisco Insight Reporter CSCux34694
Cisco Prime Access Registrar アプライアンス CSCux34652
Cisco Prime Access Registrar CSCux34955
Cisco Prime Central for SPs CSCux34667
Cisco Prime Collaboration Provisioning CSCux34669
Cisco Prime Home CSCux34666
Cisco Prime Infrastructure CSCux34665
Cisco Prime LAN Management Solution(LMS - Solaris) CSCux34647
Cisco Prime License Manager CSCux34705
Cisco Prime Network Services Controller CSCux34672
Cisco Prime Optical for SPs CSCux34656
Cisco Prime Performance Manager CSCux34953
Cisco Prime Provisioning for SPs CSCux34664
Cisco Prime Provisioning CSCux35084
Cisco Prime Security Manager CSCux35106
Cisco Prime サービス カタログ仮想アプライアンス CSCux34715
Cisco Security Manager CSCux34671
Cisco Unified Intelligence Center CSCux35044
Local Collector Appliance(LCA) CSCux34812
ユニファイド コミュニケーション導入ツール CSCux34584
Routing and Switching - Enterprise and Service Provider
Cisco Broadband Access Center Telco Wireless CSCux34645
Unified Computing
Cisco UCS Director CSCux34942
Voice and Unified Communications Devices
Cisco Computer Telephony Integration Object Server(CTIOS) CSCux34589 修正プログラム公開は 5 月 6 日。
2016
Cisco Emergency Responder CSCux34852
Cisco Hosted Collaboration Mediation Fulfillment CSCux34859
Cisco IM and Presence Service(CUPS) CSCux34855
Cisco IP Interoperability and Collaboration System (IPICS) CSCux34720
Cisco Management Heartbeat Server CSCux35009
Cisco MediaSense CSCux34874 11.0
10.5(2016 年 3 月)
11.5 (June 2016)
Cisco MeetingPlace CSCux35147
Cisco USC8088 CSCux35125
Cisco Unified Attendant Console Advanced CSCux34827
Cisco Unified Attendant Console Business Edition CSCux34827
Cisco Unified Attendant Console Department Edition CSCux34827
Cisco Unified Attendant Console Enterprise Edition CSCux34827
Cisco Unified Attendant Console Premium Edition CSCux34827
Cisco Unified Communications Domain Manager CSCux35022
Cisco Unified Communications Manager(UCM) CSCux34835
Cisco Unified Communications Manager Session Management Edition(SME) CSCux34835
Cisco Unified Contact Center Enterprise CSCux34589 修正プログラム公開は 5 月 6 日。
2016
Cisco Unified Contact Center Express CSCux34844
Cisco Unified E-Mail Interaction Manager CSCux34853
Cisco Unified Intelligent Contact Management Enterprise CSCux34589 修正プログラム公開は 5 月 6 日。
2016
Cisco Unified Sip Proxy CSCux34567
Cisco Unified Web Interaction Manager CSCux34853
Cisco Unity Connection(UC) CSCux35135
Cisco Voice Portal(CVP) CSCux35046
Video, Streaming, TelePresence, and Transcoding Devices
Cisco Digital Transport Adapter Control System(DTACS) CSCux34796
Cisco Media Experience Engines(MXE) CSCux34968
Cisco Show and Share CSCux34708
Cisco TelePresence Exchange System(CTX) CSCux34690
Cisco VDS Service Broker CSCux34804
Cisco Video Distribution Suite for Internet Streaming(VDS-IS/CDS-IS) CSCux34724
Cisco Videoscape Conductor CSCux34792
Cisco Videoscape Control Suite CSCux34974
Explorer Controller(EC)システム CSCux34795
Wireless
Cisco Mobility Services Engine(MSE) CSCux35085
Cisco Hosted Services
ビジネス ビデオ サービス自動化ソフトウェア(BV) CSCux34572
Cisco クラウド E メール セキュリティ CSCux34593
シスコ クラウド サービス CSCux34688
Cisco Cloud Web Security CSCux35002
シスコのクラウドおよびシステム管理 CSCux34926
Cisco Proactive Network Operations Center CSCux34582
Cisco Registered Envelope Service(CRES) CSCux34591
Cisco Services Provisioning Platform(SPP) CSCux34885 3.2.2 (2016 年 1 月)
Cisco Smart Care CSCux34985
Cisco Unified Services Delivery Platform(CUSDP) CSCux34779
コミュニケーション/コラボレーション サイジング ツール、仮想マシン配置ツール、シスコ ユニファイド コミュニケーション アップグレード レディネス アセスメント CSCux34881
DCAF UCS Collector CSCux34924
Data Center Analytics Framework(DCAF) CSCux34575
Life Cycle Management Agent Manager(LCM) CSCux34927
ネットワーク変更管理および構成管理 CSCux34580
Partner Supporting Service(PSS)1.x CSCux34739
パートナー サポート サービスの SI コンポーネント CSCux34738
Serial Number Assessment Service(SNAS) CSCux34991
Services Analytic Platform CSCux35043
Smart Net Total Care(SNTC) CSCux34987
Smart Net Total Care CSCux34730

脆弱性を含んでいないことが確認された製品

以下の製品は、このアドバイザリに記載された脆弱性の影響を受けません。

ケーブル モデム
  • Cisco 3G フェムトセル ワイヤレス
  • Cisco Unified IP Phone 6921

Collaboration and Social Media
  • Cisco WebEx Node for MCS

エンドポイント クライアントとクライアント ソフトウェア
  • Cisco Agent for OpenFlow
  • Cisco AnyConnect Secure Mobility Client for Android
  • Cisco AnyConnect Secure Mobility Client for Linux
  • Cisco AnyConnect Secure Mobility Client for Windows
  • Cisco AnyConnect Secure Mobility Client for iOS
  • Cisco IP Communicator
  • Cisco Jabber Guest 10.0(2)
  • Cisco Jabber Software Development Kit
  • Cisco Jabber for Android
  • Cisco Jabber for Mac
  • Cisco Jabber for Windows
  • Cisco Jabber for iOS
  • Cisco MMP サーバ
  • Cisco NAC Agent for Mac
  • Cisco NAC Agent for Web
  • Cisco NAC Agent for Windows
  • Cisco UC Integration for Microsoft Lync
  • Cisco Virtualization Experience Media Engine
  • Cisco WebEx Meetings Client - Hosted
  • Cisco WebEx Meetings Client - On Premises
  • Cisco WebEx Meetings for Android
  • Cisco WebEx Meetings for BlackBerry
  • Cisco WebEx Meetings for WP8
  • Cisco WebEx Productivity Tools
  • JCF コンポーネント
  • WebEx Meetings Server - SSL Gateway
  • WebEx Recording Playback Client

ネットワーク アプリケーション、サービス、およびアクセラレーション
  • Cisco ACE 30 Application Control Engine Module
  • Cisco ACE 4710 Application Control Engine(A5)
  • Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェア
  • Cisco Application Control Engine(ACE30/ACE 4710)
  • Cisco Application and Content Networking System(ACNS)
  • Cisco Extensible Network Controller(XNC)
  • Cisco Nexus Data Broker(NDB)
  • コンテンツ サービス スイッチ

ネットワークおよびコンテンツ セキュリティ デバイス
  • Cisco ASA Content Security and Control(CSC)Security Services Module
  • Cisco ASA Next-Generation Firewall Services
  • Cisco Adaptive Security Appliance(ASA)
  • Cisco Adaptive Security Device Manager
  • Cisco Content Security Appliance Updater Servers
  • Cisco Content Security Management Appliance (SMA)
  • Cisco Email Security Appliance (ESA)
  • Cisco IPS
  • シスコ侵入防御システム(IPS)
  • Cisco IronPort Encryption Appliance(IEA)
  • Cisco NAC Guest Server
  • Cisco Physical Access Control Gateway
  • Cisco Physical Access Manager
  • Cisco セキュリティ管理アプライアンス(SMA)
  • Cisco Virtual Security Gateway for Microsoft Hyper-V
  • Cisco Web Security Appliance (WSA)

ネットワーク管理とプロビジョニング
  • Cisco Application Networking Manager
  • Cisco Connected Grid Device Manager
  • Cisco Connected Grid Network Management System
  • Cisco Linear Stream Manager
  • Cisco MGC Node Manager(CMNM)
  • Cisco Multicast Manager
  • Cisco Netflow Collection Agent
  • Cisco Network Analysis Module
  • Cisco Packet Tracer
  • Cisco Prime Analytics
  • Cisco Prime Cable Provisioning
  • Cisco Prime Collaboration Assurance
  • Cisco Prime Collaboration Deployment
  • Cisco Prime Collaboration Manager
  • Cisco Prime Data Center Network Manager(.ova および .iso インストーラ)
  • Cisco Prime Data Center Network Manager(DCNM)
  • Cisco Prime IP Express
  • Cisco Prime Infrastructure Standalone Plug and Play Gateway
  • Cisco Prime Network Registrar(CPNR)仮想アプライアンス
  • Cisco Prime Network Registrar(CPNR)
  • Cisco Prime Network Registrar IP アドレス マネージャ(IPAM)
  • Cisco Prime Network
  • Cisco UCS Central
  • Cisco Unified Provisioning Manager(CUPM)
  • Cisco Virtual Topology System(旧称 Virtual Systems Operations Center)
  • CiscoWorks Network Compliance Manager
  • vPE プロジェクト向け Virtual Systems Operations Center

ルーティングおよびスイッチング - エンタープライズおよびサービス プロバイダー
  • CRS-CGSE-PLIM
  • CRS-CGSE-PLUS
  • Cisco ASR 5000 シリーズ
  • Cisco ASR 9000 シリーズ統合型サービス モジュール
  • Cisco Application Policy Infrastructure Controller(APIC)
  • Cisco Connected Grid Router - CGOS
  • Cisco Connected Grid ルータ
  • Cisco IOS ソフトウェア
  • ASR1k、ASR903、ISR4400、CSR1000v 向け Cisco IOS XE
  • Catalyst 3k、4k、AIR-CT5760、および Cisco RF Gateway 10(RFGW-10)向け Cisco IOS XE
  • Cisco IOS-XR
  • Cisco MDS 9000 Series Multilayer Switches
  • Cisco Metro Ethernet 1200 シリーズ アクセス デバイス
  • Cisco Nexus 1000V シリーズ スイッチ(ESX)
  • Cisco Nexus 1010
  • Cisco Nexus 3000 Series Switches
  • Cisco Nexus 4000 シリーズ
  • Cisco Nexus 5000 Series Switches
  • Cisco Nexus 6000 Series Switches
  • Cisco Nexus 7000 Series Switches
  • Cisco Nexus 9000 (ACI/Fabric Switch)
  • Cisco Nexus 9000 シリーズ(スタンドアロン、NxOS を実行)
  • Cisco Nexus 9000 Series Switches
  • Cisco ONS 15454 Series Multiservice Provisioning Platforms
  • Cisco OnePK All-in-One VM
  • Cisco Service Control Application for Broadband
  • Cisco Service Control Collection Manager
  • Cisco Service Control Operating System
  • Cisco Service Control Subscriber Manager
  • Cisco VPN Acceleration Engine
  • Cisco Network Convergence System(NCS)6000 向け IOS-XR

ルーティングおよびスイッチング - スモール ビジネス
  • Cisco Small Business AP500 シリーズ ワイヤレス アクセス ポイント
  • Cisco Small Business RV120W Wireless-N VPN ファイアウォール
  • Cisco Small Business RV シリーズ ルータ 0xxv3
  • Cisco Small Business RV シリーズ ルータ RV110W
  • Cisco Small Business RV シリーズ ルータ RV130x
  • Cisco Small Business RV シリーズ ルータ RV215W
  • Cisco Small Business RV シリーズ ルータ RV220W
  • Cisco Small Business RV シリーズ ルータ RV315W
  • Cisco Small Business RV シリーズ ルータ RV320
  • Cisco Sx220 switches
  • Cisco Sx300 switches
  • Cisco Sx500 switches
  • Cisco WAP4410N Wireless-N Access Point

Unified Computing
  • Cisco Common Services Platform Collector
  • Cisco Standalone ラック サーバ CIMC
  • Cisco UCS ADA
  • Cisco UCS Invicta Series Solid State Systems
  • Cisco UCS Invicta シリーズ
  • Cisco UCS Manager
  • Cisco Unified Computing System B-Series (Blade) Servers
  • Cisco Unified Computing System E シリーズ ブレード サーバ
  • Cisco Virtual Security Gateway
  • UCS I/O モジュール

音声およびユニファイド コミュニケーション デバイス
  • Cisco 190 ATA Series Analog Terminal Adaptor
  • Cisco 7937 IP Phone
  • Cisco 8800 Series IP Phones - VPN Feature
  • Cisco ATA 187 Analog Telephone Adaptor
  • Cisco Agent Desktop for Cisco Unified Contact Center Express
  • Cisco Agent Desktop
  • Cisco Billing and Measurements Server
  • Cisco Broadband Access Center for Cable Tools Suite 4.1
  • Cisco Broadband Access Center for Cable Tools Suite 4.2
  • Cisco DX シリーズ IP フォン
  • Cisco Desktop Collaboration Experience DX70 および DX80
  • Cisco H.323 Signaling Interface
  • Cisco Paging Server(Informacast)
  • Cisco Paging Server
  • Cisco Prime Cable Provisioning Tools Suite 5.0
  • Cisco Prime Cable Provisioning Tools Suite 5.1
  • Cisco Quantum Virtualized Packet Core
  • Cisco Remote Silent Monitoring
  • Cisco SPA112 2-Port Phone Adapter
  • Cisco SPA122 ATA with Router
  • Cisco SPA232D Multi-Line DECT ATA
  • Cisco SPA30X Series IP Phones
  • Cisco SPA50X Series IP Phones
  • Cisco SPA51X Series IP Phones
  • Cisco SPA525G
  • Cisco SPA8000 8 ポート IP テレフォニー ゲートウェイ
  • Cisco SPA8800 IP テレフォニー ゲートウェイ(4 FXS ポートと 4 FXO ポートを内蔵)
  • Cisco TAPI Service Provider(TSP)
  • Cisco Unified 3900 シリーズ IP フォン
  • Cisco Unified 6901 IP フォン
  • Cisco Unified 6945 IP フォン
  • Cisco Unified 7800 Series IP Phones
  • Cisco Unified 8831 シリーズ IP Conference Phone
  • Cisco Unified 8961 IP フォン
  • Cisco Unified 9951 IP フォン
  • Cisco Unified 9971 IP フォン
  • Cisco Unified Attendant Console Standard
  • Cisco Unified Client Services Framework
  • Cisco Unified IP Conference Phone 8831 for Third-Party Call Control
  • Cisco Unified IP Phone 7900 Series
  • Cisco Unified IP Phone 8941 および 8945(SIP)
  • Cisco Unified Operations Manager(CUOM)
  • Cisco Unified Wireless IP Phone
  • Cisco Unity Express
  • Cisco Universal Small Cell RAN Management System
  • Cisco Virtual PGW 2200 ソフトスイッチ
  • xony VIM/CCDM/CCMP

ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス
  • Cisco 910 Industrial Router
  • Cisco AnyRes Live(CAL)
  • Cisco AnyRes VOD(CAL)
  • Cisco Command 2000 Server(cmd2k)(RH ベース)
  • Cisco D9824 Advanced Multi Decryption Receiver
  • Cisco D9854/D9854-I Advanced Program Receiver
  • Cisco D9858 Advanced Receiver Transcoder
  • Cisco D9859 Advanced Receiver Transcoder
  • Cisco D9865 Satellite Receiver
  • Cisco DCM Series 9900-Digital Content Manager
  • Cisco DNCS Application Server(AppServer)
  • Cisco Digital Media Players (DMP) 4300 Series
  • Cisco Digital Media Players (DMP) 4400 Series
  • Cisco Download Server(DLS)(Solaris)
  • Cisco Edge 300 Digital Media Player
  • Cisco Edge 340 Digital Media Player
  • Cisco Enterprise Content Delivery System (ECDS)
  • Cisco Expressway Series
  • Cisco Headend System Release
  • Cisco IPTV Services Delivery System(ISDS)
  • Cisco International Digital Network Control System(iDNCS)
  • Cisco Media Services Interface
  • Cisco Model D9485 DAVIC QPSK
  • Cisco Powerkey CAS Gateway(PCG)
  • Cisco Powerkey Encryption Server(PKES)
  • Cisco TelePresence Advanced Media Gateway Series
  • Cisco TelePresence Conductor
  • Cisco TelePresence Content Server(TCS)
  • Cisco TelePresence EX Series
  • Cisco TelePresence ISDN GW 3241
  • Cisco TelePresence ISDN GW MSE 8321
  • Cisco TelePresence ISDN Link
  • Cisco TelePresence MCU (8510, 8420, 4200, 4500 and 5300)
  • Cisco TelePresence MX Series
  • Cisco TelePresence Management Suite(TMS)
  • Cisco TelePresence Management Suite Analytics Extension(TMSAE)
  • Cisco TelePresence Management Suite Extension(TMSXE)
  • Cisco TelePresence Management Suite Extension for IBM
  • Cisco TelePresence Management Suite Provisioning Extension
  • Cisco TelePresence Profile Series
  • Cisco TelePresence SX Series
  • Cisco TelePresence Serial Gateway Series
  • Cisco TelePresence Server 8710、7010
  • Cisco TelePresence Server on Multiparty Media 310、320
  • Cisco TelePresence Server on Virtual Machine
  • Cisco TelePresence Supervisor MSE 8050
  • Cisco TelePresence Video Communication Server(VCS)
  • Cisco Telepresence Integrator C シリーズ
  • Cisco Transaction Encryption Device(TED)
  • Cisco VEN501 Wireless Access Point
  • Cisco ビデオ配信システム レコーダー
  • Cisco Video Surveillance 3000 Series IP Cameras
  • Cisco Video Surveillance 4000 Series High-Definition IP Cameras
  • Cisco Video Surveillance 4300E/4500E High-Definition IP Cameras
  • Cisco Video Surveillance 6000 Series IP Cameras
  • Cisco Video Surveillance 7000 Series IP Cameras
  • Cisco Video Surveillance Media Server
  • Cisco Video Surveillance PTZ IP Cameras
  • Cisco Videoscape Distribution Suite Transparent Caching
  • Cloud Object Store(COS)
  • Tandberg Codian ISDN GW 3210/3220/3240
  • Tandberg Codian MSE 8320 model
  • VDS-Recorder
  • VDS-TV Caching GW
  • VDS-TV Streamer
  • VDS-TV Vault

ワイヤレス
  • Cisco IOS アクセス ポイント
  • Cisco RF Gateway 1(RFGW-1)
  • Cisco Small Business 121 シリーズ ワイヤレス アクセス ポイント
  • Cisco Small Business 321 シリーズ ワイヤレス アクセス ポイント
  • Cisco Small Business 500 シリーズ ワイヤレス アクセス ポイント
  • Cisco WAP371 ワイヤレス アクセス ポイント
  • Cisco Wireless Control System(WCS)
  • Cisco Wireless LAN Controller(WLC)
  • Cisco ワイヤレス セキュリティ ゲートウェイ アプリケーション(WSG)

シスコ ホステッド サービス
  • Cisco Connected Analytics For Collaboration
  • Cisco DC Health Check
  • Cisco Intelligent Automation for Cloud
  • シスコ パートナー サポート サービス
  • Cisco SmartConnection
  • Cisco SmartReports
  • Cisco UCS Invicta Series Autosupport Portal
  • Cisco Universal Small Cell 5000 シリーズ(V3.4.2.x ソフトウェアを実行)
  • Cisco Universal Small Cell 7000 シリーズ(V3.4.2.x ソフトウェアを実行)
  • Cisco Universal Small Cell CloudBase
  • Cisco WebEx Messenger Service
  • Cisco WebEx ノード
  • Cisco WebEx11 アプリケーション サーバ
  • IMS
  • MACD Process Controller(MPC)
  • ネットワーク デバイスセキュリティ評価
  • Network Performance Analytics (NPA)
  • Partner Supporting Service(PSS)2.x
  • Sentinel
  • Small Cell factory recovery root filesystem V2.99.4 or later
  • Web Element Manager

セキュリティ侵害の痕跡

攻撃者は、Java アプリケーション、またはクラスパスに Apache Commons Collections ライブラリがあるライブラリに、任意の Java の関数またはバイトコードを実行させる可能性があります。

回避策

この脆弱性に対処する回避策はありません。

修正済みソフトウェア

ソフトウェアのアップグレードを検討する場合は、 http://www.cisco.com/go/psirt の Cisco Security Advisories and Responses アーカイブや後続のアドバイザリを参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。 不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例やその公表を確認していません。

出典

2015 年 1 月 Gabriel Lawrence と Chris Frohoff の 2 人の研究者により、任意のコード実行を招く可能性がある潜在的なデータの逆シリアル化による脆弱性が公表されました。 この脆弱性は、Java アプリケーションおよびライブラリで使用される Java オブジェクトのシリアル化に起因しています。

2015 年 11 月 Foxglove Security の Stephen Breen は、ACC Java ライブラリが、セキュアでないデータの逆シリアル化に対して脆弱であると特定しました。

URL

改訂履歴

バージョン 説明 セクション ステータス Date
1.10 影響を受ける製品を更新。 該当製品 Interim 2016 年 2 月 25 日
1.9 影響を受ける製品を更新。 該当製品 Interim 2016-February-02
1.8 影響を受ける製品を更新。 該当製品 Interim 2016 年 1 月 12 日
1.7 影響を受ける製品を更新。 該当製品 Interim 2016 年 1 月 5 日
1.6 影響を受ける製品を更新。 該当製品 Interim 2015 年 12 月 23 日
1.5 影響を受ける製品を更新。 該当製品 Interim 2015 年 12 月 22 日
1.4 影響を受ける製品を更新。 該当製品 Interim 2015 年 12 月 18 日
1.3 影響を受ける製品を更新。 該当製品 Interim 2015 年 12 月 17 日
1.2 影響を受ける製品を更新。 該当製品 Interim 2015 年 12 月 15 日
1.1 シスコ製品に一意の CVE ID を割り当て、影響を受ける製品を更新。 CVE 該当製品 Interim 2015 年 12 月 10 日
1.0 初回公開リリース Interim 2015 年 12 月 9 日

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。