Critical

Download CVRF Email

Critical

アドバイザリーID : cisco-sa-20110223-telepresence-ctrs
初公開日 : 2011-02-23 16:00
バージョン 1.0 : Final
CVSSスコア : 10.0
回避策 : Yes
Cisco バグ ID :
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

多重 脆弱点は Cisco TelePresence Recording Server の内にあります。 この Security Advisory は次の脆弱性の詳細を概説します:

  • Java Servlet 非認証アクセス
  • コモン ゲートウェイ インターフェイス (CGI) コマンド インジェクト
  • 非認証任意 ファイル アップロード
  • XML リモート プロシージャ コール(RPC)任意 ファイル上書き
  • Cisco Discovery Protocol(CDP)リモート コード 実行
  • Denial of Service(DoS/DDoS)アド ホックな記録
  • Java Remote Method Invocation (RMI) Denial of Service(DoS/DDoS)
  • 非認証 XML-RPC インターフェイス

他の Cisco TelePresence アドバイザリの重複した問題識別

Java Servlet 非認証アクセスの脆弱性は Cisco TelePresence マルチポイント スイッチおよび Recording Server に影響を与えます。 各コンポーネントと関連している問題は各々の関連するアドバイザリでカバーされます。 これらの問題のための Cisco バグ ID は次の通りです:

  • Cisco TelePresence マルチポイント スイッチ- CSCtf42008
  • Cisco TelePresence Recording Server - CSCtf42005

非認証任意 ファイル アップロード脆弱性は Cisco TelePresence マルチポイント スイッチおよび記録サーバに影響を与えます。 各コンポーネントと関連している問題は各々の関連するアドバイザリでカバーされます。 これらの問題のための Cisco バグ ID は次の通りです:

  • Cisco TelePresence マルチポイント スイッチ- CSCth61065
  • Cisco TelePresence Recording Server - CSCth85786

Cisco Discovery Protocol(CDP)リモート コード 実行脆弱性は Cisco TelePresence エンドポイント、マネージャ、Multipoint Switch および Recording Server に影響を与えます。 各コンポーネントと関連している問題は各々の関連するアドバイザリでカバーされます。 これらの問題のための Cisco バグ ID は次の通りです:

  • Cisco TelePresence エンドポイント デバイス- CSCtd75754
  • Cisco TelePresence Manager - CSCtd75761
  • Cisco TelePresence マルチポイント スイッチ- CSCtd75766
  • Cisco TelePresence Recording Server - CSCtd75769

Java RMI サービス拒否の脆弱性は Cisco TelePresence マルチポイント スイッチおよび Recording Server に影響を与えます。 各コンポーネントと関連している問題は各々の関連するアドバイザリでカバーされます。 これらの問題のための Cisco バグ ID は次の通りです:

  • Cisco TelePresence マルチポイント スイッチ- CSCtg35825
  • Cisco TelePresence Recording Server - CSCtg35830

このアドバイザリは http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110223-telepresence-ctrs で掲示されます。

該当製品

修正済みソフトウェア

影響を受けたソフトウェアのバージョンを実行している Cisco TelePresence Recording Server デバイスは影響を受けています。

Cisco TelePresence Recording Server で動作しているソフトウェアの最新バージョンを判別するために、デバイスに SSH によってアクセスし、show version アクティブおよび show version 非アクティブ コマンドを発行して下さい。 出力は次の例に類似するはずです:

admin: show version active
Active Master Version: 1.7.0.0-151

Active Version Installed Software Options: 
No Installed Software Options Found.

admin: show version inactive
Inactive Master Version: 1.6.2.0-237

Inactive Version Installed Software Options: 

No Installed Software Options Found.

前述の例では、システムにデバイスでロードされるバージョン 1.6.2 および 1.7.0 があり、バージョン 1.7.0 は現在アクティブです。 デバイスはアクティブなソフトウェア バージョンにある脆弱性からだけ影響を受けます。

脆弱性を含んでいないことが確認された製品

他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。

改訂履歴

リビジョン 1.0

2011-February-23

初版リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。