JVNVU#97735735: Cisco トラストアンカーモジュール (TAm) におけるコード検証不備および Cisco IOS XE Web UI におけるユーザ入力検証不備の脆弱性

JVNVU#97735735: Cisco トラストアンカーモジュール (TAm) におけるコード検証不備および Cisco IOS XE Web UI におけるユーザ入力検証不備の脆弱性
CRANK

Cisco のトラストアンカーモジュール(TAm) には、内部の Field Programmable Gate Array (FPGA) に使われるビットストリームを細工され、改ざん検知機能を迂回される問題が存在します。また、Cisco の IOS XE Web UI では、ユーザ入力の無害化が不十分であり、結果として遠隔から当該機器にログイン可能なユーザによって、root 権限でコマンドを実行される可能性があります。影響を受ける製品は多岐にわたります。詳しくは Cisco が提供する情報をご確認ください。Web UI にログインできるユーザによって、Secure Boot 機能による改ざん検知を迂回され、細工されたファームウェアを当該機器にインストールされる可能性があります。CVE-2019-1649 への対応:製品開発者のアドバイザリによると、本脆弱性への対策を講じたソフトウェアを開発中とのことです。対策済みソフトウェアがリリースされ次第、アップデートを行ってください。CVE-2019-1862 への対応:アップデートする開発者が提供する情報をもとに、最新版へアップデートしてください。

jvn.jp 5 years ago

Open page

https://jvn.jp/vu/JVNVU97735735/