|
□ 개요
o Cisco社는 자사 제품의 취약점을 해결한 보안 업데이트 공지 [1]
o 영향받는 버전을 사용 중인 이용자는 최신 버전으로 업데이트 권고
□ 설명
o Cisco Expressway Series Software 및 Cisco
TelePresence VCS(Video Communication Server)의 웹 관리 인터페이스에서 발생하는 CSRF 취약점 (CVE-2022-20853) 등 2개 [2]
o Cisco NFVIS(Enterprise NFV Infrastructure Software)에서 발생하는 부적절한 서명
확인 취약점 (CVE-2022-20929) [3]
o Cisco社 스위치, 라우터 제품에서 발생하는 L2 네트워크 필터링 우회 취약점 (CVE-2021-27853) 등 4개 [4]
o Cisco AsyncOS Software for Cisco Secure Web Appliance에서 발생하는 필터링
우회 취약점 (CVE-2022-20952) [5]
o Cisco Jabber의 XMPP 메시지 처리 기능에서 발생하는 부적절한
자원 노출 취약점 (CVE-2022-20917) [6]
o Cisco Smart Software Manager On-Prem의 웹 기반 관리 인터페이스에서 발생하는 권한 상승
취약점 (CVE-2022-20939) [7]
o Cisco BroadWorks Hosted Thin Receptionist의 웹 관리 인터페이스에서 발생하는 XSS 취약점 (CVE-2022-20948) [8]
o Cisco ATA 190 시리즈 아날로그 전화 어댑터 소프트웨어에서 발생하는 서비스 거부 취약점 (CVE-2022-20686) 등 7개 [9]
o Cisco TelePresence CE Software 및 Cisco Touch 10
장치용 RoomOS 소프트웨어의 페어링 프로세스에서 발생하는 불충분한 신원 확인 취약점 (CVE-2022-20793) [10]
o Cisco Touch 10 장치용 Cisco TelePresence CE 소프트웨어에서
발생하는 불충분한 버전 제어로 인한 다운그레이드 취약점 (CVE-2022-20931) [11]
□ 영향받는 제품 및 해결 방안
|
제품명
|
영향받는 버전
|
해결 버전
|
|
Cisco Expressway Series and
Cisco TelePresence VCS
|
14.2 이전 버전
|
14.2
|
|
Cisco Enterprise NFVIS
|
4.9.1 이전 버전
|
4.9.1
|
|
Cisco Jabber for Windows
|
12.6.6 이전 버전
|
12.6.6
|
|
12.7
|
12.7.6
|
|
12.8
|
12.8.7
|
|
12.9
|
12.9.7
|
|
14.0
|
14.0.5
|
|
14.1
|
14.1.3
|
|
Cisco Jabber for MacOS
|
12.8.8 이전 버전
|
12.8.8
|
|
12.9
|
12.9.8
|
|
14.0
|
14.0.5
|
|
14.1
|
14.1.3
|
|
Cisco Jabber for Android and iOS
|
14.1.4 이전 버전
|
14.1.4
|
|
Cisco Jabber for iOS MAM
|
|
Cisco Jabber for Android MAM
|
14.1.4 (2022년 11월
예정)
|
|
Cisco Smart Software Manager On-Prem
|
8-202206 이전 버전
|
8-202206
|
|
Cisco BroadWorks Hosted
Thin Receptionist Software
|
22.0.2022.08 이전 버전
|
22.0.2022.08
|
|
23.0
|
23.0.2022.08
|
|
24.0
|
24.0.2022.08
|
|
ATA 191 Analog Telephone Adapter
|
12.0(1)SR4 및 이전 버전
|
12.0(1)SR5
|
|
ATA 191 Multiplatform
Analog Telephone Adapter
|
11.2.1 및 이전 버전
|
11.2.2
|
|
ATA 192 Multiplatform
Analog Telephone Adapter
|
|
Cisco TelePresence CE Software
|
10.15.2.2 이전 버전
|
10.15.2.2
|
※ 참고 사이트 [4]에
해당하는 제품은 아직 패치가 공개되지 않음
※ ATA 190 아날로그 전화 어댑터 제품은 지원이 종료되었으므로, ATA 191이나 192 제품 사용을 권고
※ 참고 사이트에 명시되어 있는 ‘Fixed Software’ 내용을 참고하여
패치 적용
□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이
118
[참고사이트]
[1] https://tools.cisco.com/security/center/publicationListing.x
[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-csrf-sqpsSfY6
[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-NFVIS-ISV-BQrvEv2h
[4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-VU855201-J3z8CKTX
[5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-bypass-bwBfugek
[6] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-xmpp-Ne9SCM
[7] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cssm-priv-esc-SEjz69dv
[8] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bw-thinrcpt-xss-gSj4CecU
[9] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ata19x-multivuln-GEZYVvs
[10] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-CTT-IVV-4A66Dsfj
[11] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-CTT-DAV-HSvEHHEt
□ 작성 : 침해사고분석단 취약점분석팀
|
