Cisco Security Response: Cisco TelePresence Video Communication Server Cross-Site Scripting Vulnerability

2011 年 10 月 12 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2011 年 10 月 12 日) | フィードバック


http://www.cisco.com/en/US/products/products_security_response09186a0080b98d0b.html

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.0

For Public Release 2011 October 12 1730 UTC (GMT)


目次

シスコの対応
追加情報
この通知のステータス:FINAL
更新履歴
シスコ セキュリティ手順

シスコの対応

Cisco TelePresence Video Communication Server(VCS)には、ユーザ制御によって Web ベースの管理インターフェイスに入力を行う際、その入力に対する不適切な検証に起因する脆弱性が存在します。ログイン ページに HTTP User-Agent ヘッダ経由で提供されるユーザ制御入力が、不正または悪意のあるコンテンツに対して適切にサニタイズされないまま、動的に生成される Web コンテンツによってユーザに返されます。攻撃者はリモートからこの脆弱性を不正利用して、反射型クロスサイト スクリプティング攻撃を実行できる可能性があります。

Zoompf, Inc. の Billy Hoffman 氏がこの脆弱性を発見し、Dell SecureWorks の Ben Feinstein 氏によりシスコに報告されました。シスコでは、研究者と協力してセキュリティ脆弱性に関する調査を進め、製品レポートで発表することを常に歓迎しています。

追加情報

Cisco TelePresence Video Communication Server ソフトウェアの X7.0 より前のバージョンが影響を受けます。この脆弱性は、Cisco TelePresence Video Communication Server ソフトウェア バージョン X7.0 ですでに修正されています。

この脆弱性は Cisco Bug ID CSCts80342 登録ユーザのみ)として文書化され、CVE ID CVE-2011-3294 が割り当てられています。

ネットワーク内のシスコ デバイスに適用可能な他の緩和策については、『Cisco Applied Mitigation Bulletin: Understanding Cross-Site Scripting (XSS) Threat Vectors』にて参照できます。 http://www.cisco.com/warp/public/707/cisco-amb-20060922-understanding-xss.shtml

この通知のステータス:FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコシステムズはいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。

更新履歴

Revision 1.0

2011-October-12

Initial public release

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シスコ ワールドワイド Web サイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html にアクセスしてください。このページには、シスコのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。すべてのシスコ セキュリティ アドバイザリは http://www.cisco.com/go/psirt/ で確認することができます。