wordy
tech
Cisco Fixes High-Risk Vulnerability Impacting Unity Connection Software
Newsroom
Words in contents
  • flaw
    n. 결함, 오류
    There is a flaw in the system's security.
    시스템의 보안에 결함이 있습니다.
  • execute
    v. 실행하다
    The attacker can execute malicious commands on the system.
    공격자는 시스템에서 악의적인 명령을 실행할 수 있습니다.
  • arbitrary
    adj. 임의의
    The vulnerability allows for arbitrary file uploads.
    이 취약점은 임의의 파일 업로드를 허용합니다.
  • authentication
    n. 인증
    The vulnerability is a result of a lack of authentication.
    이 취약점은 인증 부재로 인한 결과입니다.
  • advisory
    n. 고시, 통보
    The company issued an advisory about the security issue.
    회사가 보안 문제에 대한 통보를 발행했습니다.
  • residing
    v. 존재하다
    The bug is residing in the management interface.
    버그가 관리 인터페이스에 존재합니다.
  • authentication
    n. 인증
    The vulnerability is a result of a lack of authentication.
    이 취약점은 인증 부재로 인한 결과입니다.
  • validation
    n. 검증
    The vulnerability is caused by an improper validation of user-supplied data.
    이 취약점은 사용자 제공 데이터의 부적절한 검증으로 인해 발생합니다.
    The name had to go. More importantly, it had to be replaced by something effective.
    이름은 바뀌어야 했다. 더 중요한 것은, 그것이 효과적인 것으로 대체되어야 했다.
  • adversary
    n. 적, 상대
    An adversary could exploit this vulnerability.
    적은 이 취약점을 이용할 수 있습니다.
  • arbitrary
    adj. 임의의
    The vulnerability allows for arbitrary file uploads.
    이 취약점은 임의의 파일 업로드를 허용합니다.
  • exploit
    v. 이용하다
    An attacker could exploit the vulnerability to gain unauthorized access.
    공격자는 이 취약점을 이용하여 무단으로 액세스할 수 있습니다.
  • malicious
    adj. 악의적인
    The attacker can store malicious files on the system.
    공격자는 시스템에 악의적인 파일을 저장할 수 있습니다.
  • elevate
    v. 높이다, 상승시키다
    A successful exploit can elevate privileges to root.
    성공적인 공격은 권한을 최상위로 높일 수 있습니다.
  • reside
    v. 존재하다
    The vulnerability resides in the web-based management interface.
    이 취약점은 웹 기반의 관리 인터페이스에 존재합니다.
  • mitigate
    v. 완화시키다
    Users are advised to update to a fixed version to mitigate potential threats.
    사용자들은 잠재적인 위협을 완화하기 위해 고정 버전으로 업데이트하는 것이 좋습니다.
  • shipped
    v. 출하하다
    Cisco has shipped updates to resolve vulnerabilities in its software.
    시스코는 소프트웨어의 취약점을 해결하기 위해 업데이트를 출하했습니다.
  • spanning
    v. 이어지다, 펼쳐지다
    The updates resolve vulnerabilities spanning various software.
    업데이트는 다양한 소프트웨어에 걸쳐진 취약점을 해결합니다.
  • inject
    v. 주입하다, 삽입하다
    The command injection bug allows for unauthorized code injection.
    명령 주입 버그는 무단으로 코드를 주입할 수 있게 합니다.
  • end-of-life
    n. 생애 주기 종료, 지원 종료
    The device has reached end-of-life and will no longer receive support.
    이 장치는 생애 주기가 종료되었으며 더 이상 지원받을 수 없습니다.
  • migrate
    v. 이전하다
    Cisco recommends customers migrate to the Business 240AC Access Point.
    시스코는 고객들이 비즈니스 240AC 액세스 포인트로 이전하기를 권장합니다.
Contents
Cisco Fixes High-Risk Vulnerability Impacting Unity Connection Software

Cisco has released software updates to address a critical security n. 결함, 오류flaw impacting Unity Connection that could permit an n. 적, 상대adversary to v. 실행하다execute adj. 임의의arbitrary commands on the underlying system.

Tracked as CVE-2024-20272 (CVSS score: 7.3), the vulnerability is an adj. 임의의arbitrary file upload bug v. 존재하다residing in the web-based management interface and is the result of a lack of n. 인증authentication in a specific API and improper n. 검증validation of user-supplied data.

"An attacker could exploit this vulnerability by uploading arbitrary files to an affected system," Cisco said in an advisory released Wednesday. "A successful exploit could allow the attacker to store malicious files on the system, execute arbitrary commands on the operating system, and elevate privileges to root."

The n. 결함, 오류flaw impacts the following versions of Cisco Unity Connection. Version 15 is not vulnerable.

  • 12.5 and earlier (Fixed in version 12.5.1.19017-4)
  • 14 (Fixed in version 14.0.1.14006-5)

Security researcher Maxim Suslov has been credited with discovering and reporting the n. 결함, 오류flaw. Cisco makes no mention of the bug being v. 이용하다exploited in the wild, but it's advised that users update to a fixed version to v. 완화시키다mitigate potential threats.

Alongside the patch for CVE-2024-20272, Cisco has also v. 출하하다shipped updates to resolve 11 medium-severity vulnerabilities v. 이어지다, 펼쳐지다spanning its software, including Identity Services Engine, WAP371 Wireless Access Point, ThousandEyes Enterprise Agent, and TelePresence Management Suite (TMS).

Cisco, however, noted that it does not intend to release a fix for the command injection bug in WAP371 (CVE-2024-20287, CVSS score: 6.5), stating that the device has reached end-of-life (EoL) as of June 2019. It's instead recommending customers migrate to the Cisco Business 240AC Access Point.

Cisco는 공격자가 기본 시스템에서 임의의 명령을 실행할 수 있도록 허용할 수 있는 Unity 커넥션에 영향을 미치는 중대한 보안 결함을 해결하기 위한 소프트웨어 업데이트를 출시했습니다.

CVE-2024-20272**(CVSS 점수: 7.3)로 추적되는 이 취약점은 웹 기반 관리 인터페이스에 존재하는 임의 파일 업로드 버그로, 특정 API의 인증 부족과 사용자가 제공한 데이터의 부적절한 유효성 검사로 인해 발생합니다.

"공격자는 영향을 받는 시스템에 임의의 파일을 업로드하여 이 취약점을 악용할 수 있습니다."(https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cuc-unauth-afu-FROYsCsD)라고 시스코는 수요일에 발표한 권고문에서 밝혔습니다. "익스플로잇에 성공하면 공격자는 시스템에 악성 파일을 저장하고, 운영 체제에서 임의의 명령을 실행하고, 루트 권한으로 권한을 상승시킬 수 있습니다."

이 결함은 다음 버전의 Cisco Unity 연결에 영향을 미칩니다. 버전 15는 취약하지 않습니다.

  • 12.5 이하(버전 12.5.1.19017-4에서 수정됨)
  • 14(버전 14.0.1.14006-5에서 수정됨)

이 결함을 발견하고 보고한 보안 연구원 Maxim Suslov의 공로를 인정받았습니다. Cisco는 이 버그가 야생에서 악용되고 있다는 언급은 하지 않고 있지만, 잠재적인 위협을 완화하기 위해 수정된 버전으로 업데이트할 것을 권장하고 있습니다.

CVE-2024-20272에 대한 패치와 함께 Cisco는 Identity Services Engine, WAP371 무선 액세스 포인트, ThousandEyes 엔터프라이즈 에이전트, 텔레프레즌스 관리 제품군(TMS) 등 자사 소프트웨어에 걸쳐 11개의 중간 심각도 취약점을 해결하기 위한 업데이트도 배포했습니다.

그러나 시스코는 2019년 6월 현재 해당 디바이스가 단종(EoL)에 도달했다며 WAP371의 명령 인젝션 버그(CVE-2024-20287, CVSS 점수: 6.5)에 대한 수정 버전을 출시할 계획이 없다고 밝혔습니다. 대신 고객에게 Cisco Business 240AC 액세스 포인트로 마이그레이션할 것을 권장하고 있습니다.

Quiz
  1. Q. 다음 중 글의 내용과 일치하는 것을 고르시오.
  2. Q. 다음 중 잘못된 설명은 무엇인가요?
  3. Q. 다음 중 명령 주입 버그에 대한 설명으로 옳은 것은?