主要情報 脆弱性情報 脆弱性名称: Cisco Unified Communications Manager IM and Presence Service 情報漏洩脆弱性 深刻度: 中 CVE ID: CVE-2016-6464 CWE ID: CWE-200 Cisco Bug ID: CSCva49629 CVSS スコア: ベース 5.0, 一時 4.1 脆弱性の説明 詳細: Cisco Unified Communications Manager IMおよびPresence ServiceのWeb管理インターフェースに脆弱性が存在し、権限のないリモート攻撃者がアクセス制限されているはずのWebページ情報を閲覧できる。この脆弱性は、HTTPヘッダー入力の検証不備に起因する。 攻撃手法: 攻撃者は標的デバイスに対して特製のデータパケットを送信することでこの脆弱性を悪用し、制限されたWebページを閲覧できる。 解決策の有無: 利用可能な解決策はない。 影響を受ける製品 影響を受ける製品: Cisco Unified Communications Manager IM and Presence Service 影響を受けない製品: 現在、本脆弱性の影響を受ける他のCisco製品は確認されていない。 解決策 修正済みソフトウェア: 詳細はCiscoバグIDについてCisco脆弱性アナウンスメントページを参照のこと。 バージョン更新の推奨: 顧客はソフトウェアアップグレード時に、Cisco製品のCiscoセキュリティアナウンスメントおよび警報ページを定期的に確認し、リスク暴露の必要性とアップグレードプランの完了を判断すべきである。 アップグレード時の留意事項: アップグレード時には、デバイスに十分なメモリがあることを確認し、現在のハードウェアおよびソフトウェア構成が新しいリリースバージョンで引き続きサポートされることを確認すること。 公開開示および利用状況 公開利用状況: Cisco製品セキュリティインシデントレスポンスチーム(PSIRT)は、本脆弱性の公開アナウンスや悪意ある利用行為を現在まで発見していない。 その他情報 公開日: 2016年12月7日 一意のリンク: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161207-ucm