JPCERT-AT-2018-0043
JPCERT/CC
2018-10-26
Cisco
Cisco Webex Meetings Desktop App Update Service Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181024-webex-injection
Cisco は本脆弱性の深刻度を「High」と評価しています。また、JPCERT/CC では、この脆弱性 (CVE-2018-15442) に関する実証コードが公開されていることを確認しています。影響を受けるバージョンの Cisco Webex Meetings Desktop App および Cisco Webex Productivity Tools を利用している場合は、「III. 対策」を参考に、修正済みバージョンの適用を推奨します。
- Cisco Webex Meetings Desktop App 33.5.6 より前のバージョン
- Cisco Webex Productivity Tools 32.6.0 から 33.0.5 まで (33.0.5 を除く)
本脆弱性は、Windows 上で、Cisco Webex Meetings Desktop App 及び Cisco Webex Productivity Tools を利用している場合にのみ影響を受けるとのことです。
現在使用中のバージョンの確認方法は、Cisco が提供する情報を参照してください。
Cisco
Check the Cisco Webex Meetings Desktop App Version
https://collaborationhelp.cisco.com/article/en-us/0usc4ab
Cisco
Check the Cisco Webex Productivity Tools Version for Windows
https://collaborationhelp.cisco.com/article/en-us/nf387ab
- Cisco Webex Meetings Desktop App 33.5.6 およびそれ以降
- Cisco Webex Productivity Tools 33.0.5 およびそれ以降
なお Cisco Webex Productivity Tools は、Cisco Webex Meetings 33.2.0のリリースから Cisco Webex Meetings Desktop App に置き換えられています。
Cisco
Cisco Webex Meetings Desktop App Update Service Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181024-webex-injection
Cisco
Check the Cisco Webex Meetings Desktop App Version
https://collaborationhelp.cisco.com/article/en-us/0usc4ab
Cisco
Check the Cisco Webex Productivity Tools Version for Windows
https://collaborationhelp.cisco.com/article/en-us/nf387ab
US-CERT
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/10/24/Cisco-Releases-Security-Updates
今回の件につきまして、当センターまで提供いただける情報がございましたら、ご連絡ください。
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT/CC
2018-10-26
I. 概要
2018年10月24日 (米国時間)、Cisco より Cisco Webex Meetings Desktop Appおよび Cisco Webex Productivity Tools の脆弱性 (CVE-2018-15442) に関するアドバイザリが公開されました。脆弱性を悪用された場合、ローカルのユーザがシステム権限で任意のコマンドを実行する可能性があります。脆弱性の詳細については、Cisco の情報を確認してください。Cisco
Cisco Webex Meetings Desktop App Update Service Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181024-webex-injection
Cisco は本脆弱性の深刻度を「High」と評価しています。また、JPCERT/CC では、この脆弱性 (CVE-2018-15442) に関する実証コードが公開されていることを確認しています。影響を受けるバージョンの Cisco Webex Meetings Desktop App および Cisco Webex Productivity Tools を利用している場合は、「III. 対策」を参考に、修正済みバージョンの適用を推奨します。
II. 対象
脆弱性の影響を受ける製品とバージョンは次のとおりです。- Cisco Webex Meetings Desktop App 33.5.6 より前のバージョン
- Cisco Webex Productivity Tools 32.6.0 から 33.0.5 まで (33.0.5 を除く)
本脆弱性は、Windows 上で、Cisco Webex Meetings Desktop App 及び Cisco Webex Productivity Tools を利用している場合にのみ影響を受けるとのことです。
現在使用中のバージョンの確認方法は、Cisco が提供する情報を参照してください。
Cisco
Check the Cisco Webex Meetings Desktop App Version
https://collaborationhelp.cisco.com/article/en-us/0usc4ab
Cisco
Check the Cisco Webex Productivity Tools Version for Windows
https://collaborationhelp.cisco.com/article/en-us/nf387ab
III. 対策
Cisco から対策が施されたバージョンが提供されています。アップデートを適用することをおすすめします。- Cisco Webex Meetings Desktop App 33.5.6 およびそれ以降
- Cisco Webex Productivity Tools 33.0.5 およびそれ以降
なお Cisco Webex Productivity Tools は、Cisco Webex Meetings 33.2.0のリリースから Cisco Webex Meetings Desktop App に置き換えられています。
IV. 参考情報
Cisco
Cisco Webex Meetings Desktop App Update Service Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181024-webex-injection
Cisco
Check the Cisco Webex Meetings Desktop App Version
https://collaborationhelp.cisco.com/article/en-us/0usc4ab
Cisco
Check the Cisco Webex Productivity Tools Version for Windows
https://collaborationhelp.cisco.com/article/en-us/nf387ab
US-CERT
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/10/24/Cisco-Releases-Security-Updates
今回の件につきまして、当センターまで提供いただける情報がございましたら、ご連絡ください。
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/