□ 개요
o Cisco社는 자사 제품의 취약점을 해결한 보안 업데이트 공지 [1]
o 영향받는 버전을 사용 중인 이용자는 최신 버전으로 업데이트 권고
□ 설명
o Cisco Unified Communications 제품에서 소프트웨어 업그레이드 프로세스의 부적절한 제한으로 인해
발생하는 임의 파일 쓰기 취약점 (CVE-2022-20789) 등 5개 [2][3][4][5][6]
o Cisco Unified Communications Manager IM &Presence Service의 웹
기반 관리 인터페이스에서 부적절한 유효성 검사로 인해 발생하는 SQL Injection 취약점 (CVE-2022-20786) [7]
o Cisco Umbrella SWG(Secure Web Gateway)의 자동 암호 해독 프로세스에서 TLS SNI(Sever Name Indication)의 사용으로 인해 발생하는 암호 해독 우회 취약점 (CVE-2022-20805) [8]
o Cisco ASA(Adaptive Security Appliance) 소프트웨어 및
Cisco FTD(Firepower Threat Defense) 소프트웨어의
DTLS(Datagram TLS) 터널을 설정할 때 발생하는 문제점으로 인해 발생하는
AnyConnect SSL VPN 서비스 거부(DoS) 취약점 (CVE-2022-20795) [9]
o Cisco Webex Meetings의 인증 구성 요소에서 불충분한 유효성 검사로 인해 발생하는 XSS 취약점 (CVE-2022-20778) [10]
o Cisco TelePresence CE(Collaboration Endpoint) 소프트웨어 및 Cisco RoomOS Software의 패킷 처리 기능에서 불충분한 입력 유효성 검사로 인해 발생하는 서비스
거부(DoS) 취약점 (CVE-2022-20783) [11]
o Cisco Umbrella VA(Virtual Appliance)의 키 기반 SSH 인증
메커니즘에서 고정 SSH 호스트 키를 사용함으로서 발생하는 불충분한 인증 취약점 (CVE-2022-20773) [12]
o Cisco VIM(Virtualized Infrastructure Manager)의 특정 구성 파일에 대한 부적절한
접근 권한으로 인해 발생하는 권한 상승 취약점 (CVE-2022-20732) [13]
□ 영향받는 제품 및 해결 방안
소프트웨어명
|
버전
|
해결 버전
|
Cisco Unified CM 및
Cisco Unified CM SME
|
11.5(1)
|
11.5(1)SU11
|
12.5(1) ~ 12.5(1)SU6 이전
|
12.5(1)SU6
|
14 ~ 14SU1 이전
|
14SU1
|
14.0 및 이전
|
Cisco Unity Connection
|
12.5(1)
|
12.5(1)SU6
|
14
|
14SU1
|
Cisco Unified CM IM&P
|
11.5(1)
|
11.5(1)SU11
|
12.5(1)
|
12.5(1)SU6
|
14
|
14SU1
|
Cisco RoomOS Software
|
RoomOS January 2022 이전
|
RoomOS January 2022
|
Cisco TelePresence CE Software
|
9 및 이전 버전
|
9.15.10.8
|
10
|
10.11.2.2
|
Cisco Umbrella Virtual Appliance Software
|
3.2 및 이전 버전
|
3.3.2
|
3.3
|
Cisco Virtualized Infrastructure Manager
Software
|
3.6 및 이전 버전
|
4.2.2
|
4.0.0
|
※ 참고 사이트에 명시되어 있는 ‘Fixed Software’ 내용을 참고하여 패치 적용
□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이
118
[참고사이트]
[1] https://tools.cisco.com/security/center/publicationListing.x
[2]
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-arb-write-74QzruUU
[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-xss-6MCe4kPF
[4]
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucm-csrf-jrKP4eNT
[5]
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucm-dos-zHS9X9kD
[6] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucm-file-read-h8h4HEJ3
[7]
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-imp-sqlinj-GrpUuQEJ
[8] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uswg-fdbps-xtTRKpp6
[9]
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vpndtls-dos-TunzLEV
[10]
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-xss-w47AMqAk
[11] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ce-roomos-dos-c65x2Qf2
[12]
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uva-static-key-6RQTRs4c
[13] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vim-privesc-T2tsFUf
□ 작성 : 침해사고분석단 취약점분석팀
|