米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は10月28日(米国時間)、「Cisco Releases Security Updates for Multiple Products|CISA」において、シスコシステムズが複数の製品について脆弱性を修正するセキュリティアップデートをリリースしたことを伝えた。
これらの脆弱性を放置すると、悪意を持った第三者によって影響を受けたシステムに対し、サービス運用妨害(DoS)や任意のコマンド実行、任意のファイルの読み書き、セキュリティ機能のバイパスなどの攻撃を行われる可能性がある。
セキュリティアップデートに関する情報は、次のセキュリティアドバイザリページにまとめられている。
今回のアップデートで修正された脆弱性は合計19件で、 high(高)のものが9件、Medium(中程度)のものが10件となっている。このうち、影響度Highのものは以下のとおり。該当する製品やバージョン、悪用された場合の影響などは脆弱性によって異なるが、いずれも最新バージョンにアップデートすることで回避できる。
- CVE-2021-40116: Multiple Cisco Products Snort Rule Denial of Service Vulnerability
- CVE-2021-34783: Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Software-Based SSL/TLS Denial of Service Vulnerability
- CVE-2021-34781: Cisco Firepower Threat Defense Software SSH Connections Denial of Service Vulnerability
- CVE-2021-34752,CVE-2021-34755,CVE-2021-34756: Cisco Firepower Threat Defense Software Command Injection Vulnerabilities
- CVE-2021-34762: Cisco Firepower Management Center Software Authenticated Directory Traversal Vulnerability
- CVE-2021-40117: Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software SSL/TLS Denial of Service Vulnerability
- CVE-2021-1573,CVE-2021-34704,CVE-2021-40118: Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Denial of Service Vulnerabilities
- CVE-2021-34792: Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Resource Exhaustion Denial of Service Vulnerability
- CVE-2021-34793: Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Resource Exhaustion Denial of Service Vulnerability