Ciscoの製品用プロトコル「CDP」を使用する複数の製品に脆弱性(JVN)
IPAおよびJPCERT/CCは、Cisco Discovery Protocol (CDP) を使用する複数の製品に、任意のコード実行およびサービス運用妨害 (DoS) の脆弱性が発見されたと「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
CDPは、Cisco製品がネットワークに接続されたデバイスに関する情報を収集するために使用する、Cisco独自のLayer-2 (データリンク層) ネットワークプロトコル。Armis Securityにより、CDPに5件の脆弱性が報告された。影響を受ける製品は複数あり、脆弱性によって異なる。
報告された脆弱性は次の通り。
Video Surveillance 8000 シリーズ IP カメラにおけるヒープオーバーフローの脆弱性(CVE-2020-3110)
Cisco VoIP 製品におけるスタックオーバーフローの脆弱性(CVE-2020-3111)
Cisco IOS XR ソフトウエアを使用する製品におけるスタックオーバーフローの脆弱性(CVE-2020-3118)
Cisco NX-OS ソフトウエアを使用する製品におけるスタックオーバーフローおよび情報改ざんの脆弱性(CVE-2020-3119)
Cisco NX-OS、IOS XR、FXOS ソフトウエアを使用する製品におけるリソース枯渇の脆弱性(CVE-2020-3120)
この脆弱性が悪用されると、CDPを使用する製品に細工された CDP パケットを送信することにより、任意のコードが実行されたり、当該製品を異常終了させられる(CVE-2020-3120以外)、CDPを使用する製品を再起動させることで、当該製品を異常終了させられる(CVE-2020-3120)可能性がある。JVNでは、Ciscoが提供するアドバイザリを参考に、修正済のバージョンにアップデートするよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
![2019 年全体総括 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/29868.png)
![新型コロナウイルスの虚偽ニュースが作られた政治背景 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/30197.png)
関連リンク
特集
アクセスランキング
-
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
-
東京高速道路のメールアカウントを不正利用、大量のメールを送信
-
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
-
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず
-
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート
-
インフォマート 公式 Facebook ページに不正ログイン
-
クラウド労務管理「WelcomeHR」の個人データが閲覧可能な状態に、154,650 人分のダウンロード確認
-
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
-
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
-
バッファロー製無線 LAN ルータに複数の脆弱性