2008-01-18 Cisco、IPテレフォニー製品の脆弱性に対処 - ITmedia エンタープライズ セキュリティ CiscoのCallManagerのCTLの脆弱性でDoSを起こしたり任意のコードが実行できるそうだ。 かなり危険な脆弱性なので、要注意。(CTLは認証局の信頼リストかなぁ?) 脆弱性は、Certificate Trust List(CTL) Providerサービスのヒープオーバーフロー問題に起因する。悪用されるとリモートの認証を受けないユーザーがサービス妨害(DoS)状態を誘発したり、任意のコードを実行することが可能になる。 深刻度は、脆弱性評価の共通指標CVSS 2.0のベーススコアで最も高い10.0となっている。CTL Providerサービスを使っていない時に無効にして、問題を回避することも可能。 関連URL http://www.us-cert.gov/current/index.html#cisco_releases_security_advisory_for3