シスコ、セキュリティ脆弱性を公表

Marguerite Reardon(CNET News.com)2004年12月20日 11時19分

 Cisco Systemsは、同社の通信ソフトウェアとセキュリティツールに見つかった脆弱性に関し、攻撃者がネットワークにアクセスできてしまう可能性があるとの警告を発した。

 同社は米国時間15日、自社ウェブサイトに勧告を掲載し、Cisco Unity統合通信ソフトウェアのバージョン2、3、4に影響を及ぼすこの脆弱性を顧客に警告した。同社はまた、企業をDoS(サービス拒否)攻撃から守るツール、Cisco Guardに見つかった同様の問題についても警告している。

 Cisco Unityは、ユーザーがインターネットから電話を介して電子メールを読み上げさせたり、音声メッセージをチェックできるようにする統合型の通信ソフトウェア。これをサードパーティー製のファックスサーバと統合すれば、受信文書を近くのファックスに転送することもできる。

 Cisco Unityに見つかった問題は、MicrosoftのExchangeプログラムと統合した場合に、同ソフトウェアがデフォルトのパスワードで利用できるユーザーアカウントを作成してしまうというもの。Unityのインストール時にパスワードを変更しないと、外部のユーザーがログオンし、送受信される電子メールを読めるようになってしまう。また、同時に一部の管理機能も利用可能になってしまう。

 Ciscoは15日、自社ウェブサイト上に解決方法を掲載したが、このうち最も簡単な対処方法は、これらのアカウントのデフォルトパスワードを変更することだ。デフォルトのパスワードが付いたままで変更が必要なアカウントは、同社ウェブサイトに掲載されている。

 Ciscoによると、2005年第1四半期にリリース予定の新バージョン、Cisco Unityバージョン4.0(5)では、この問題は解決されているという。

 Ciscoは、10月にも自社の統合通信製品用のセキュリティアップグレードをいくつか発表し、具体的には音声メッセージのセキュリティ改善を行っていた。

 Ciscoはまた、Cisco Guardの脆弱性についても警告している。Cisco Unity製品同様、Cisco Guardにもデフォルトでユーザー名とパスワードが割り当てられている。Cisco Guardの3.1より前のバージョンが影響を受けるこの問題は、これらの設定を変更すれば解決できる。この問題の詳細と解決方法についてはCiscoのウェブサイトに情報が掲載されている。

 DoS攻撃を受けると、ネットワークに膨大な数のパケットが送りつけられて、スイッチ、ルータ、サーバでは処理が滞り、継続的に再起動してしまう。Cisco Guard製品はトラフィックの異常を検知し、攻撃対象になったサーバを保護するためにこのトラフィックを迂回させる機能を持つ。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]