2022-04-22
□ 개요 o Cisco社는 자사 제품의 취약점을 해결한 보안 업데이트 공지 [1] o 영향받는 버전을 사용 중인 이용자는 최신 버전으로 업데이트 권고 □ 설명 o Cisco Unified Communications 제품에서 소프트웨어 업그레이드 프로세스의 부적절한 제한으로 인해 발생하는 임의 파일 쓰기 취약점 (CVE-2022-20789) 등 5개 [2][3][4][5][6] o Cisco Unified Communications Manager IM & Presence Service의 웹 기반 관리 인터페이스에서 부적절한 유효성 검사로 인해 발생하는 SQL Injection 취약점 (CVE-2022-20786) [7] o Cisco Umbrella SWG(Secure Web Gateway)의 자동 암호 해독 프로세스에서 TLS SNI(Sever Name Indication)의 사용으로 인해 발생하는 암호 해독 우회 취약점 (CVE-2022-20805) [8] o Cisco ASA(Adaptive Security Appliance) 소프트웨어 및 Cisco FTD(Firepower Threat Defense) 소프트웨어의 DTLS(Datagram TLS) 터널을 설정할 때 발생하는 문제점으로 인해 발생하는 AnyConnect SSL VPN 서비스 거부(DoS) 취약점 (CVE-2022-20795) [9] o Cisco Webex Meetings의 인증 구성 요소에서 불충분한 유효성 검사로 인해 발생하는 XSS 취약점 (CVE-2022-20778) [10] o Cisco TelePresence CE(Collaboration Endpoint) 소프트웨어 및 Cisco RoomOS Software의 패킷 처리 기능에서 불충분한 입력 유효성 검사로 인해 발생하는 서비스 거부(DoS) 취약점 (CVE-2022-20783) [11] o Cisco Umbrella VA(Virtual Appliance)의 키 기반 SSH 인증 메커니즘에서 고정 SSH 호스트 키를 사용함으로서 발생하는 불충분한 인증 취약점 (CVE-2022-20773) [12] o Cisco VIM(Virtualized Infrastructure Manager)의 특정 구성 파일에 대한 부적절한 접근 권한으로 인해 발생하는 권한 상승 취약점 (CVE-2022-20732) [13] □ 영향받는 제품 및 해결 방안
소프트웨어명 | 버전 | 해결 버전 |
Cisco Unified CM 및 Cisco Unified CM SME |
11.5(1) | 11.5(1)SU11 |
12.5(1) ~ 12.5(1)SU6 이전 | 12.5(1)SU6 | |
14 ~ 14SU1 이전 | 14SU1 | |
14.0 및 이전 | ||
Cisco Unity Connection | 12.5(1) | 12.5(1)SU6 |
14 | 14SU1 | |
Cisco Unified CM IM&P | 11.5(1) | 11.5(1)SU11 |
12.5(1) | 12.5(1)SU6 | |
14 | 14SU1 | |
Cisco RoomOS Software | RoomOS January 2022 이전 | RoomOS January 2022 |
Cisco TelePresence CE Software | 9 및 이전 버전 | 9.15.10.8 |
10 | 10.11.2.2 | |
Cisco Umbrella Virtual Appliance Software | 3.2 및 이전 버전 | 3.3.2 |
3.3 | ||
Cisco Virtualized Infrastructure Manager Software |
3.6 및 이전 버전 | 4.2.2 |
4.0.0 |