独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月6日、Cisco Discovery Protocol (CDP) を使用する複数の製品に、任意のコード実行およびサービス運用妨害 (DoS) の脆弱性が発見されたと「Japan Vulnerability Notes(JVN)」で発表した。CDPは、Cisco製品がネットワークに接続されたデバイスに関する情報を収集するために使用する、Cisco独自のLayer-2 (データリンク層) ネットワークプロトコル。Armis Securityにより、CDPに5件の脆弱性が報告された。影響を受ける製品は複数あり、脆弱性によって異なる。報告された脆弱性は次の通り。Video Surveillance 8000 シリーズ IP カメラにおけるヒープオーバーフローの脆弱性(CVE-2020-3110)Cisco VoIP 製品におけるスタックオーバーフローの脆弱性(CVE-2020-3111)Cisco IOS XR ソフトウエアを使用する製品におけるスタックオーバーフローの脆弱性(CVE-2020-3118)Cisco NX-OS ソフトウエアを使用する製品におけるスタックオーバーフローおよび情報改ざんの脆弱性(CVE-2020-3119)Cisco NX-OS、IOS XR、FXOS ソフトウエアを使用する製品におけるリソース枯渇の脆弱性(CVE-2020-3120)この脆弱性が悪用されると、CDPを使用する製品に細工された CDP パケットを送信することにより、任意のコードが実行されたり、当該製品を異常終了させられる(CVE-2020-3120以外)、CDPを使用する製品を再起動させることで、当該製品を異常終了させられる(CVE-2020-3120)可能性がある。JVNでは、Ciscoが提供するアドバイザリを参考に、修正済のバージョンにアップデートするよう呼びかけている。
![2019 年全体総括 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/29868.png)
![新型コロナウイルスの虚偽ニュースが作られた政治背景 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/30197.png)
