Medium
Medium
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOSソフトウェアは非認証を可能にする可能性があるユーザーのブラウザー セッションの任意 HTML およびスクリプト コードを実行するために脆弱性リモート攻撃者が含まれています。
組み込み HTTPサーバの入力 sanitization エラーによる脆弱性存在。 非認証はユーザの悪意のあるリンクに従うように確信によって、リモート攻撃者この脆弱性を不正利用する可能性があります。 この操作は攻撃者がユーザーのブラウザー セッションの任意 HTML およびスクリプト コードを実行することを可能にする可能性があります。
Cisco はこの脆弱性を確認し、更新済ソフトウェアをリリースしました。
Cisco IOSソフトウェアの組み込み HTTPサーバのエラーによる脆弱性存在。 セキュリティ上の推奨事項はそれが使用中のとき管理者がこのサーバをディセーブルにすることを定めます。 管理者は組み込み HTTPサーバを実行しているあらゆる Cisco IOSデバイスの目的を判別するためにネットワークを検討するために助言されます。
該当製品
Cisco は次のリンクで Cisco バグ ID CSCsi13344 をアドレス指定するためにセキュリティ応答をリリースしました: cisco-sr-20090114-http
脆弱性のある製品
組み込み HTTPサーバがイネーブルの状態で稼動する Cisco IOS システムは脆弱かもしれません。Â 顧客はソフトウェア バージョンが脆弱であるかどうか判別するためにサポート 組織に連絡するように勧告されます。
脆弱性を含んでいないことが確認された製品
回避策
管理者は適切な更新を加えるように助言されます。
管理者はそれが運営業務に必要ではない場合 HTTPサーバをディセーブルにするように助言されます。 詳細については Cisco IOSデバイス 文書を堅くするために Cisco ガイドのディセーブル未使用サービス セクションを参照して下さい。
管理者は HTTPサーバへのアクセスを制限するためにアクセス制御アクセス・コントロール・リストを追加するために助言されます。
ユーザは非請求リンクに従わないように助言されます。 ユーザはそれらに続く前に予想外リンクの信頼性を確認する必要があります。
Cisco によって加えられる知性チームは識別を管理者に指示するために次のドキュメントガイドを作成し、軽減は更新済ソフトウェアを加える前にこの脆弱性を不正利用するように試みます: cisco-amb-20060922-understanding-xss
修正済みソフトウェア
アクティブな契約を持つ Cisco カスタマは次のリンクで Software Center を通して更新を入手できます: Cisco。 契約のない Cisco カスタマは 1-800-553-2447 か 1-408-526-7209 で、または tac@cisco.com で E メールで Cisco Technical Assistance Center にコンタクトをとってアップグレードを入手できます。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例やその公表を確認していません。
出典
URL
改訂履歴
| Version | Description | Section | Status | 日付 |
| 1.0 | 初版リリース | 該当なし | Final | 2009-Jan-14 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。