米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は2月17日(現地時間)、「Cisco Releases Security Updates for Email Security Appliance」において、シスコシステムズが提供しているメールセキュリティアプライアンス(以下、ESA)に脆弱性が報告されていることを伝えた。この脆弱性を悪用されると、対象のデバイスでサービス拒否(DoS)状態を引き起こされる危険性がある。
脆弱性の詳細は、シスコによる次のセキュリティアドバイザリにまとめられている。
この脆弱性は、ESAに搭載されているAsyncOS Software for ESAの電子メール検証コンポーネントである「DNS-based Authentication of Named Entities(DANE)」において、DNS名前解決のエラー処理が不十分なことに起因するもの。認証されていない攻撃者は、影響を受けるデバイスに対して特別にフォーマットされた電子メールメッセージを送信することによって、サービス拒否(DoS)状態を引き起こすことができる。
DANE機能が有効で、かつバウンスメッセージを送信するように設定された、ダウンストリームメールサーバを備えたAsyncOS Softwareを実行しているデバイスがこの脆弱性の影響を受けるとのこと。ただし、DANE機能はデフォルトでは無効に設定されているという。
AsyncOS Softwareを次のバージョンにアップデートすることで、この脆弱性の影響を回避することができる。この脆弱性のCVSS v3ベーススコアは7.5で、深刻度「高(High)」に分類されている。
- バージョン13.0.3
- バージョン13.5.4.102
- バージョン14.0.2.020