Cisco のコラボレーション製品に重大な脆弱性

ネットワーク機器最大手の Cisco Systems (NASDAQ:CSCO) は6月30日、ソフトウェア製品『Cisco Collaboration Server (CCS)』に重大な脆弱性が存在し、悪意あるコードの実行を許すおそれがあると警告を発した。

同社によると、CCS がサブコンポーネントとして利用する「ServletExec」の一部バージョンに問題があるという。

同社はセキュリティ勧告の中で「権限の無いユーザーが、任意のファイルをアップロードしたり、管理者権限を得ることができる」と警告している。

問題となるのは、CCS 5.0 より前のバージョンで、ServletExec 3.0E より前のバージョンを利用する場合だ。独立系セキュリティ会社 Secunia は、1日に発表した勧告の中で、アップロードしたファイルの実行が可能として、同脆弱性の危険性を、5段階中2番目に高い危険度とした。同社は、外部からのシステム乗っ取り攻撃に利用できると警告している。

Cisco は、CCS 4.x ユーザー向けに、パッチ適用の自動化スクリプトを用意し、対策の促進を図っている。また回避手段やパッチ適用の詳細についても、セキュリティ勧告の中で説明している。

CCS は、主に Eコマースサイトなどでオンライン CRM サービスを提供するために用いる。CCS を使えば、企業は Web ページに「ヘルプ呼び出し」ボタンを配置し、音声 (PSTN または VoIP) あるいはテキストチャットによる、顧客への対話支援を実現できるほか、一般にオンライン コラボレーション環境としても利用できる。同製品は現在、『Cisco Web Collaboration Option』として提供している。