Critical
Critical
アドバイザリーID : cisco-sa-20170124-webex
初公開日 : 2017-01-24 18:30
最終更新日 : 2019-03-28 18:53
バージョン 1.1 : Final
CVSSスコア :
8.8
回避策 :
No workarounds available
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Webex ブラウザ拡張機能の脆弱性により、認証されていないリモート攻撃者が、被侵害システム上の被侵害ブラウザの権限を使用して任意のコードを実行する可能性があります。この脆弱性は、Microsoft Windows で動作している Cisco Webex Meetings Server、Cisco Webex Center(Meeting Center、Event Center、Training Center、Support Center)のブラウザ拡張機能に影響します。
脆弱性は、プラグイン内のアプリケーション プログラミング インターフェイス(API)の応答パーサーの設計不備に起因します。被侵害ユーザが被侵害ブラウザで、攻撃者の制御する Web ページを参照したり攻撃者の提供したリンクをたどったりするよう誘導された場合、この脆弱性が悪用される可能性があります。 成功すると、攻撃者は被侵害ブラウザの権限を使用して任意のコードを実行することができます。
シスコは、Google Chrome、Firefox、および Internet Explorer 向けにこの脆弱性に対処するソフトウェア アップデートをリリースしました。この脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170124-webex
脆弱性は、プラグイン内のアプリケーション プログラミング インターフェイス(API)の応答パーサーの設計不備に起因します。被侵害ユーザが被侵害ブラウザで、攻撃者の制御する Web ページを参照したり攻撃者の提供したリンクをたどったりするよう誘導された場合、この脆弱性が悪用される可能性があります。 成功すると、攻撃者は被侵害ブラウザの権限を使用して任意のコードを実行することができます。
シスコは、Google Chrome、Firefox、および Internet Explorer 向けにこの脆弱性に対処するソフトウェア アップデートをリリースしました。この脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170124-webex
該当製品
脆弱性のある製品
この脆弱性は、Windows 向けの Cisco Webex 拡張機能とプラグインに影響し、サポートされているほとんどのブラウザが対象になります。影響を受けるブラウザは、Windows 向けの Google Chrome、Mozilla Firefox、および Internet Explorer です。
このドキュメントで説明する脆弱性の影響を受ける Cisco WebEx ブラウザ拡張機能のバージョンは、次のとおりです。
Google Chrome
Google Chrome 向け Cisco Webex 拡張機能のバージョン 1.0.7 は 2017 年 1 月 26 日にリリースされました。このバージョンには、この脆弱性に対する修正が含まれています。Chrome ユーザの場合、Google Chrome 向け Cisco WebEx 拡張機能の修正バージョンが使用されているか確認するには、以下の手順を実行します。
Google Chrome 向け Cisco Webex 拡張機能の ID ストリング(このストリングを使用してプラグインを含むホストを特定することができます)は次のとおりです。
Mozilla Firefox
Mozilla Firefox 向け ActiveTouch General Plugin Container のバージョン 106 は 2017 年 1 月 28 日にリリースされました。このバージョンには、この脆弱性に対する修正が含まれています。Mozilla ユーザの場合、Mozilla 向け ActiveTouch General Plugin Container の修正バージョンが使用されているか確認するには、次の手順を実行します。
Microsoft Internet Explorer 向け Cisco Webex プラグインの複数のバージョンが 2017 年 1 月 28 日にリリースされました。これらのバージョンには、この脆弱性に対する修正が含まれています。Internet Explorer におけるプラグインの登録名は、プラグインに使用するインストール方法に基づいて異なる可能性があります。プラグインの修正バージョンは、アップデートを提供した Cisco Webex のバージョンによって異なります。アップデートは、WebEx ミーティング参加時に Web 経由で適用されているか、または MSI ファイル経由でクライアントのローカル アップデートによって適用されている可能性があります。Internet Explorer ユーザの場合、Internet Explorer 向けのプラグインの修正バージョンが使用されているか確認するには、次の手順を実行します。
このドキュメントで説明する脆弱性の影響を受ける Cisco WebEx ブラウザ拡張機能のバージョンは、次のとおりです。
- Google Chrome 向け Cisco Webex 拡張機能の、1.0.7 より前のバージョン
- Mozilla Firefox 向け ActiveTouch General Plugin Container の、106 より前のバージョン
- Internet Explorer 向け GpcContainer Class ActiveX コントロール プラグインの、初回修正バージョンより前のバージョン:「修正済みソフトウェア」の項を参照してください
- Internet Explorer 向け Download Manager ActiveX コントロール プラグインの、2.1.0.10 より前のバージョン
Google Chrome
Google Chrome 向け Cisco Webex 拡張機能のバージョン 1.0.7 は 2017 年 1 月 26 日にリリースされました。このバージョンには、この脆弱性に対する修正が含まれています。Chrome ユーザの場合、Google Chrome 向け Cisco WebEx 拡張機能の修正バージョンが使用されているか確認するには、以下の手順を実行します。
- Chrome で、[設定(Settings)] ページを開きます
- [拡張機能(Extensions)] をクリックします。
Google Chrome 向け Cisco Webex 拡張機能の ID ストリング(このストリングを使用してプラグインを含むホストを特定することができます)は次のとおりです。
Jlhmfgmfgeifomenelglieieghnjghma
Mozilla Firefox
Mozilla Firefox 向け ActiveTouch General Plugin Container のバージョン 106 は 2017 年 1 月 28 日にリリースされました。このバージョンには、この脆弱性に対する修正が含まれています。Mozilla ユーザの場合、Mozilla 向け ActiveTouch General Plugin Container の修正バージョンが使用されているか確認するには、次の手順を実行します。
- メニュー ボタン(アプリケーションの右上の 3 つの横棒)をクリックして、[アドオン(Add-ons)] を選択します。
- [アドオン マネージャ(Add-ons Manager)] タブで、[プラグイン(Plugins)] パネルをクリックします
- プラグインのリストから ActiveTouch General Plugin Container を見つけ、[詳細(More)] リンクをクリックしてバージョン情報を取得します
Mozilla Firefox 向け Cisco Webex NPAPI プラグインの ID ストリング(このストリングを使用してプラグインを含むホストを特定できます)は次のとおりです。
Microsoft Internet Exploreratgpccontrol
Microsoft Internet Explorer 向け Cisco Webex プラグインの複数のバージョンが 2017 年 1 月 28 日にリリースされました。これらのバージョンには、この脆弱性に対する修正が含まれています。Internet Explorer におけるプラグインの登録名は、プラグインに使用するインストール方法に基づいて異なる可能性があります。プラグインの修正バージョンは、アップデートを提供した Cisco Webex のバージョンによって異なります。アップデートは、WebEx ミーティング参加時に Web 経由で適用されているか、または MSI ファイル経由でクライアントのローカル アップデートによって適用されている可能性があります。Internet Explorer ユーザの場合、Internet Explorer 向けのプラグインの修正バージョンが使用されているか確認するには、次の手順を実行します。
- Internet Explorer で、[ツール(Tools)] ボタンを選択します
- [アドオンの管理(Manage add-ons)] を選択します
- [表示(Show)] ドロップダウン メニューから [すべてのアドオン(All add-ons)] を選択します
- [Cisco Webex LLC] の下の [Download Manager] または [GpcContainer Class] アドオンを選択します
バージョン番号は、[アドオンの管理(Manage Add-ons)] ウィンドウの下部に表示されます。このアドバイザリの「修正済みソフトウェア」の項にある修正済みプラグイン バージョンの表を参照してください。
Microsoft Internet Explorer 向け Cisco Webex ActiveX プラグインのクラス ID(CLSID)(この ID を使用してプラグインを含むホストを特定できます)は次のとおりです。
E06E2E99-0AA1-11D4-ABA6-0060082AA75C
脆弱性を含んでいないことが確認された製品
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
Cisco Webex 生産性ツールはこの脆弱性の影響を受けません。
シスコでは、この脆弱性が Mac もしくは Linux 向けの Cisco Webex ブラウザ拡張、または Microsoft Edge での Cisco Webex には影響を与えないことが確認されています。
Cisco Webex 生産性ツールはこの脆弱性の影響を受けません。
シスコでは、この脆弱性が Mac もしくは Linux 向けの Cisco Webex ブラウザ拡張、または Microsoft Edge での Cisco Webex には影響を与えないことが確認されています。
回避策
この脆弱性に対処する回避策はありません。ただし、Microsoft Edge はこの脆弱性の影響を受けないので、Windows 10 システムの管理者およびユーザが Microsoft Edge を使用して Webex セッションに参加することは可能です。さらに、管理者およびユーザは、Meeting Services Removal Tool を使用して、Windows システムからすべての Webex ソフトウェアを削除することができます。このツールは https://help.webex.com/docs/DOC-2672 から入手できます。
ご自身の環境に現在 Web プロキシまたは Web ゲートウェイがあるお客様は、URL フィルタリング ポリシーを作成して、次の条件に一致する Web 要求をブロックすることができます。
ご自身の環境に現在 Web プロキシまたは Web ゲートウェイがあるお客様は、URL フィルタリング ポリシーを作成して、次の条件に一致する Web 要求をブロックすることができます。
文字列パターン「cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html」を含む URL 要求
と
既知の顧客の Webex サイトの URL に一致しない URL ホスト名(例:https://company.webex.com/cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html 内の company.webex.com)
修正済みソフトウェア
シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェアアップデートをリリースしています。お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。そのようなソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は以下のリンクに記載されたシスコのソフトウェアライセンスの条項に従うことに同意したことになります。
http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したが Cisco Service Contract をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを POS から入手できない場合は、Cisco TAC に連絡してアップグレードを入手してください。
http://www.cisco.com/c/ja_jp/support/web/tsd-cisco-worldwide-contacts.html
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
次の製品に関する最新情報については、提供された Cisco Bug ID を参照してください。
ブラウザ プラグインの更新
Google Chrome
Google Chrome 向け Cisco Webex 拡張機能のバージョン 1.0.7 は 2017 年 1 月 26 日にリリースされました。このバージョンには、この脆弱性に対する修正が含まれています。Chrome ユーザの場合、Google Chrome 向け Cisco WebEx 拡張機能の修正バージョンが使用されているか確認するには、以下の手順を実行します。
Microsoft Internet Explorer と Mozilla Firefox
シスコでは、この脆弱性を解決する Microsoft Internet Explorer および Mozilla Firefox 向けの更新済みプラグインを 2017 年 1 月 28 日にリリースしました。プラグインは、各 Webex 製品に関連する Cisco Webex クライアント パッケージの一部として利用可能で、Webex サイトが修正バージョンにアップグレードされた後にダウンロードできます。アップグレードされたクライアントは、アップグレード実行後に各サイトの [ダウンロード(Downloads)] セクションから入手できます。更新済みクライアント ソフトウェアのないアップグレード済みサイトに接続しているユーザの場合、オンライン アップグレードの実行を促す指示が出ることがあります。
Microsoft Internet Explorer および Mozilla Firefox 向けブラウザ プラグインがうまくアップグレードできたかどうかは、次の手順を使用して確認できます。
Microsoft Internet Explorer
Microsoft Internet Explorer 向け Cisco Webex プラグインは 2017 年 1 月 28 日にリリースされました。これらのバージョンには、この脆弱性に対する修正が含まれています。Internet Explorer におけるプラグインの登録名は、プラグインに使用するインストール方法に基づいて異なる可能性があります。プラグインのバージョンは、アップデートを提供した Cisco Webex のバージョンによって異なります。アップデートは、WebEx ミーティング参加時に Web 経由で適用されているか、または MSI ファイル経由でクライアントのローカル アップデートによって適用されている可能性があります。あるバージョンの Cisco Webex からの修正バージョン プラグインをインストールすると、それ以外の修正バージョンの Cisco Webex によってインストールされるバージョンにダウングレードしたり変更したりすることはできません。Internet Explorer ユーザの場合、Internet Explorer 向けのプラグインの修正バージョンが使用されているか確認するには、次の手順を実行します。
バージョン番号は、[アドオンの管理(Manage Add-ons)] ウィンドウの下部に表示されます。
Mozilla Firefox
Mozilla Firefox 向け ActiveTouch General Plugin Container(10031.6.2017.127)のバージョン 106 は 2017 年 1 月 28 日にリリースされました。このバージョンには、この脆弱性に対する修正が含まれています。Mozilla ユーザの場合、Mozilla 向け ActiveTouch General Plugin Container の初回修正バージョン以降のバージョンが使用されているか確認するには、次の手順を実行します。
Cisco Webex Meeting Center 製品のアップグレードの確認
シスコでは、次の製品について、ロック解除されているすべてのお客様を修正バージョンにアップグレードしています。
現行の Webex のお客様は、自身の Webex ページの [サポート(Support)] セクションにある [アプリバージョン(Application Version)] 情報を調査することで、自身のサイトが更新済みソフトウェアを受け取ったかどうかを確認できます。この情報を表示するには、次の手順を実行してください。
注:Cisco WebEx製品のすべてのライセンス済み機能のクライアントは、導入されたサイトアプリケーションのバージョンとの互換性を確保するためにアップグレードする必要があります。1 つのクライアントをアップグレードすることで、CVE-2017-3823 で文書化された脆弱性が解決されます。次のクライアントを使用できます。
Cisco Webex ミーティング サーバ
Cisco WebEx Meetings ServerオンサイトCisco WebExサービスを導入したお客様は、https://software.cisco.com/download/navigator.html?mdfid=282628019&flowid=76922から更新されたソフトウェアをダウンロードするか、Cisco Download Softwareページから次のオプションを選択できます。 Products > Conferencing > Web Conferencing > WebEx Meetings Server
Cisco Webex Meetings Server バージョン 2.0 のお客様は、Cisco Webex Meetings Server 2.5 以降に移行する必要があります。Cisco WebEx Meetings Server の次のリリースではこの脆弱性が修正されています。
http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したが Cisco Service Contract をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを POS から入手できない場合は、Cisco TAC に連絡してアップグレードを入手してください。
http://www.cisco.com/c/ja_jp/support/web/tsd-cisco-worldwide-contacts.html
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
修正済みリリース
次の製品に関する最新情報については、提供された Cisco Bug ID を参照してください。
- Cisco WebEx Meeting Center:CSCvc86959
- Cisco WebEx Event Center:CSCvc95037
- Cisco WebEx Training Center:CSCvc95034
- Cisco WebEx Support Center:CSCvc95044
- Cisco WebEx Meetings Server:CSCvc88194
- Cisco WebEx Meetings:CSCvc88535
ブラウザ プラグインの更新
Google Chrome
Google Chrome 向け Cisco Webex 拡張機能のバージョン 1.0.7 は 2017 年 1 月 26 日にリリースされました。このバージョンには、この脆弱性に対する修正が含まれています。Chrome ユーザの場合、Google Chrome 向け Cisco WebEx 拡張機能の修正バージョンが使用されているか確認するには、以下の手順を実行します。
- Chrome で、[設定(Settings)] ページを開きます
- [拡張機能(Extensions)] をクリックします。
- [デベロッパー モード(Developer mode)] チェックボックスをオンにします
- [拡張機能を今すぐ更新(Update extensions now)] をクリックします
- Chrome ブラウザを再起動します
Microsoft Internet Explorer と Mozilla Firefox
シスコでは、この脆弱性を解決する Microsoft Internet Explorer および Mozilla Firefox 向けの更新済みプラグインを 2017 年 1 月 28 日にリリースしました。プラグインは、各 Webex 製品に関連する Cisco Webex クライアント パッケージの一部として利用可能で、Webex サイトが修正バージョンにアップグレードされた後にダウンロードできます。アップグレードされたクライアントは、アップグレード実行後に各サイトの [ダウンロード(Downloads)] セクションから入手できます。更新済みクライアント ソフトウェアのないアップグレード済みサイトに接続しているユーザの場合、オンライン アップグレードの実行を促す指示が出ることがあります。
Microsoft Internet Explorer および Mozilla Firefox 向けブラウザ プラグインがうまくアップグレードできたかどうかは、次の手順を使用して確認できます。
Microsoft Internet Explorer
Microsoft Internet Explorer 向け Cisco Webex プラグインは 2017 年 1 月 28 日にリリースされました。これらのバージョンには、この脆弱性に対する修正が含まれています。Internet Explorer におけるプラグインの登録名は、プラグインに使用するインストール方法に基づいて異なる可能性があります。プラグインのバージョンは、アップデートを提供した Cisco Webex のバージョンによって異なります。アップデートは、WebEx ミーティング参加時に Web 経由で適用されているか、または MSI ファイル経由でクライアントのローカル アップデートによって適用されている可能性があります。あるバージョンの Cisco Webex からの修正バージョン プラグインをインストールすると、それ以外の修正バージョンの Cisco Webex によってインストールされるバージョンにダウングレードしたり変更したりすることはできません。Internet Explorer ユーザの場合、Internet Explorer 向けのプラグインの修正バージョンが使用されているか確認するには、次の手順を実行します。
- Internet Explorer で、[ツール(Tools)] ボタンを選択します
- [アドオンの管理(Manage add-ons)] を選択します
- [表示(Show)] ドロップダウン メニューから [すべてのアドオン(All add-ons)] を選択します
- [Cisco Webex LLC] の下の [Download Manager] または [GpcContainer Class] アドオンを選択します
- Download Manager のバージョンもしくは GpcContainer Class のバージョンが 2.1.0.10 以降と表示されていること、または、バージョンのいずれかが次の表に含まれていることを、確認します。
バージョン番号は、[アドオンの管理(Manage Add-ons)] ウィンドウの下部に表示されます。
| Cisco WebEx Major Version |
GPC Container の修正済みバージョン |
|---|---|
| T31.10.0 | 10031.6.2017.0126 |
| T31.9.8 | 10031.6.2017.0126 |
| T30.16.2 | 10030.100.2017.127 |
| T30.15.5 | 10030.100.2017.0127 |
| T30.14.2 | 10030.0.2017.0127 |
| T30.12.4 | 10030.1204.2017.0127 |
| T30.9.2 | 10030.100.2017.0127 |
| T30.6.6 | 10030.100.2017.0127 |
| T30.4.4 | 10030.100.2017.127 |
| T29.13.121 | 29.13.2017.0127 |
| T29.13.94 | 29.13.2017.0127 |
| T29.13.73 | 29.13.2017.0127 |
| T29.13.56 | 29.13.2017.0127 |
| T29.13.42 | 29.13.2017.0127 |
| T29.13.35 | 29.13.2017.0127 |
| T29.13.14 | 29.13.2017.0127 |
Mozilla Firefox
Mozilla Firefox 向け ActiveTouch General Plugin Container(10031.6.2017.127)のバージョン 106 は 2017 年 1 月 28 日にリリースされました。このバージョンには、この脆弱性に対する修正が含まれています。Mozilla ユーザの場合、Mozilla 向け ActiveTouch General Plugin Container の初回修正バージョン以降のバージョンが使用されているか確認するには、次の手順を実行します。
- メニュー ボタン(アプリケーションの右上の 3 つの横棒)をクリックして、[アドオン(Add-ons)] を選択します。
- [アドオン マネージャ(Add-ons Manager)] タブで、[プラグイン(Plugins)] パネルをクリックします
- プラグインのリストから ActiveTouch General Plugin Container を見つけ、[詳細(More)] リンクをクリックしてバージョン情報を取得します
Cisco Webex Meeting Center 製品のアップグレードの確認
シスコでは、次の製品について、ロック解除されているすべてのお客様を修正バージョンにアップグレードしています。
- Cisco WebEx Meeting Center
- Cisco WebEx Event Center
- Cisco WebEx Training Center
- Cisco WebEx Support Center
- Cisco WebEx Meetings
現行の Webex のお客様は、自身の Webex ページの [サポート(Support)] セクションにある [アプリバージョン(Application Version)] 情報を調査することで、自身のサイトが更新済みソフトウェアを受け取ったかどうかを確認できます。この情報を表示するには、次の手順を実行してください。
- WebEx アカウントにサインインします
- [Meeting Center] タブをクリックします。
- [サポート(Support)] [サポート(Support)] 配下の [ダウンロード(Download)] をクリックしてください
| Cisco WebEx Major Version |
アプリケーションの修正済みバージョン |
|---|---|
| T31.10.2 | 31.10.2.5 以降 |
| T31.9.8 | 31.9.8.5 以降 |
| T30.16.2 | 30.16.2.10007 E 以降 |
| T30.15.5 | 30.15.5.10009 E 以降 |
| T30.14.2 | 30.14.2.10003 E 以降 |
| T30.12.4 | 30.12.4.10004 E 以降 |
| T30.9.2 | 30.9.2.10010 E 以降 |
| T30.6.6 | 30.6.6.10006 E 以降 |
| T30.4.4 | 30.4.4.10003 E 以降 |
| T29.13.121 | 29.13.121.10011 E 以降 |
| T29.13.94 | 29.13.94.10005 E 以降 |
| T29.13.73 | 29.13.72.10007 E 以降 |
| T29.13.56 | 29.13.56.10008 E 以降 |
| T29.13.42 | 29.13.42.10008 E 以降 |
| T29.13.35 | 29.13.25.10005 E 以降 |
| T29.13.14 | 29.13.14.10012 E 以降 |
注:Cisco WebEx製品のすべてのライセンス済み機能のクライアントは、導入されたサイトアプリケーションのバージョンとの互換性を確保するためにアップグレードする必要があります。1 つのクライアントをアップグレードすることで、CVE-2017-3823 で文書化された脆弱性が解決されます。次のクライアントを使用できます。
- Cisco WebEx Meeting Center クライアント
- Cisco WebEx Event Center クライアント
- Cisco WebEx Training Center クライアント
- Cisco WebEx Support Center クライアント
- Cisco WebEx Access Anywhere クライアント
- Cisco WebEx Remote Access クライアント
Cisco Webex ミーティング サーバ
Cisco WebEx Meetings ServerオンサイトCisco WebExサービスを導入したお客様は、https://software.cisco.com/download/navigator.html?mdfid=282628019&flowid=76922から更新されたソフトウェアをダウンロードするか、Cisco Download Softwareページから次のオプションを選択できます。 Products > Conferencing > Web Conferencing > WebEx Meetings Server
Cisco Webex Meetings Server バージョン 2.0 のお客様は、Cisco Webex Meetings Server 2.5 以降に移行する必要があります。Cisco WebEx Meetings Server の次のリリースではこの脆弱性が修正されています。
- Webex Meetings Server 2.5MR6 パッチ 4
- Webex Meetings Server 2.6MR3 パッチ 2
- Webex Meetings Server 2.7MR2 パッチ 1
Cisco Webex Meetings Server のクライアント パッケージは、アップグレードされたソリューションの一部として利用できます。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、この脆弱性の継続的な(ただし、限定的ではない)エクスプロイト事例について認識しています。
出典
この脆弱性は、Google の Tavis Ormandy 氏によってシスコに報告されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.10 | 継続的で限定的なエクスプロイト事例に関する情報が含まれています。 | 不正利用事例と公式発表 | Final | 2019 年 3 月 28 日 |
| 1.9 | 「脆弱性が存在する製品」および「修正済みソフトウェア」の項の Internet Explorer の情報を更新。 | 該当製品、修正済みソフトウェア。 | Final | 2017 年 2 月 4 日 |
| 1.8 | Microsoft Internet Explorer 向けの追加のプラグイン識別情報を追加しました。影響を受けないことを確認済みの製品のリストに、Cisco Webex 生産性ツールを追加しました。 | 該当製品、修正済みソフトウェア | Final | 2017 年 1 月 31 日 |
| 1.7 | 「該当製品」の項に、影響を受けるブラウザに関する追加のプラグイン識別情報を追加しました。「修正済みソフトウェア」の項に、明確化のための追加情報を追加しました。導入済みサイトのアプリケーション バージョンとの互換性のためすべてのクライアントをアップグレードすることについて、情報を追加しました。Cisco Webex Meetings Server 2.0 の顧客のための製品ステータス情報を追加しました。 | 該当製品、修正済みソフトウェア | Final | 2017 年 1 月 31 日 |
| 1.6 | 「該当製品」と「修正済みソフトウェア」で、Internet Explorer のバージョン情報を修正。 | 該当製品、修正済みソフトウェア | Final | 2017 年 1 月 30 日 |
| 1.5 | Webex サイトおよび顧客構内インストールのための修正済みアプリケーション バージョンの修正済みソフトウェアの表を更新。 | 修正済みソフトウェア | Final | 2017 年 1 月 29 日 |
| 1.4 | 「要約」を更新して、すべてのブラウザ拡張機能への更新を反映。「脆弱性が存在する製品」を更新して、Firefox および Internet Explorer のブラウザ拡張機能のリリースへの更新を反映。「修正済みソフトウェア」を更新して、Firefox および Internet Explorer で修正済みソフトウェアのインストールを確認するための手順と、Webex サイトの修正済みアプリケーション バージョンの表を含めました。 | 要約、脆弱性が存在する製品、修正済みソフトウェア | Interim | 2017 年 1 月 28 日 |
| 1.3 | 「要約」を更新して、Firefox に関する情報を含めました。「脆弱性が存在する製品」を更新して、ブラウザ拡張機能の識別に関する追加の詳細を含めました。 | 要約、脆弱性が存在する製品、脆弱性が存在しない製品、修正済みソフトウェア | Interim | 2017 年 1 月 27 日 |
| 1.2 | 「要約」を更新して、Cisco Webex 拡張機能の更新を含めました。「修正済みソフトウェア」を更新して、Chrome 向け Cisco Webex 拡張機能の更新が利用可能になったことを反映させ、Cisco Webex Meetings のバグを追加しました。「脆弱性が存在する製品」を更新して、Chrome への言及を削除。「脆弱性が存在しない製品」を更新して、Chrome への言及を追加。 | 要約、脆弱性が存在する製品、脆弱性が存在しない製品、修正済みソフトウェア | Interim | 2017 年 1 月 26 日 |
| 1.1 | 脆弱性についてより良く説明するための詳細を更新。修正済みソフトウェアの情報を更新して、修正が現在利用できないことを示しました。Chrome 向け Webex プラグイン バージョン 1.0.5 の旧リリースは不完全でした。 | 要約、脆弱性が存在する製品、修正済みソフトウェア | Interim | 2017 年 1 月 25 日 |
| 1.0 | 初回公開リリース | — | Interim | 2017 年 1 月 24 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。