首页 > 动态 > 关键词  > 思科最新资讯  > 正文

云安全日报200925:思科互联网操作系统发现执行任意代码高危漏洞,需要尽快升级

2020-09-25 16:16 · 稿源: TechWeb.com.cn

Cisco IOS和Cisco IOS XE是思科(Cisco)公司旗下路由器和交换机等网络设备广泛采用的互联网操作系统。

9月24日,思科公司发布了一系列补丁程序,目的是修复网络巨头无处不在的互联网操作系统(IOS)中的漏洞。这些补丁修复了各种产品的漏洞,解决了拒绝服务、文件覆盖和输入验证攻击,特权升级,执行任意代码等问题。以下是漏洞详情:

漏洞详情

据思科安全公告显示,所通报的这些漏洞中严重性等级为高的有29个,严重等级为中等的有13个。不过最值得注意的是,许多漏洞打开了安全大门,使远程未经身份验证的攻击者可以在目标系统上执行任意代码。

1.CVE-2020-3400 CVSS评分:8.8 高危

Cisco IOS XE软件的Web UI功能中的漏洞可能允许经过身份验证的远程攻击者利用未经授权的Web UI部分。

该漏洞是由于Web UI访问请求的授权不足所致。攻击者可以通过向Web UI发送精心设计的HTTP请求来利用此漏洞。成功的利用可能使攻击者利用未经授权的Web UI部分。这可以允许只读用户执行管理员操作,执行任意代码。

2.CVE-2020-3421,CVE-2020-3480CVSS评分:8.6 高危

这两个高严重等级CVE均与思科基于区域的防火墙中的一个漏洞相关。这两个漏洞并不相互依赖,无需利用其中一个漏洞即可利用另一个漏洞。此外,受其中一个漏洞影响的软件版本可能不受其他漏洞影响。

思科表示,该漏洞是由于未通过设备处理第4层数据包引起的。攻击者可以通过设备发送一定顺序的流量模式来利用这些漏洞。成功的利用可能使攻击者导致设备重新加载或停止通过防火墙转发流量,从而导致拒绝服务。

3.CVE-2020-3408CVSS评分:8.6 高危

Cisco IOS软件和Cisco IOS XE软件的Split DNS功能中的漏洞可能允许未经身份验证的远程攻击者重新加载受影响的设备,从而导致拒绝服务(DoS)状态。

发生此漏洞的原因是,与受影响版本的“Split DNS”功能配合使用的正则表达式(regex)引擎在处理DNS名称列表配置时可能会超时。攻击者可以通过尝试解析受影响的设备处理的地址或主机名来利用此漏洞。成功利用该漏洞可能使攻击者重新加载设备,从而导致DoS状态。

4.CVE-2020-3422CVSS评分:8.6 高

Cisco IOS XE软件的IP服务级别协议(SLA)响应器功能中的漏洞可能允许未经身份验证的远程攻击者导致IP SLA响应器重用现有端口,从而导致拒绝服务(DoS)状态。

存在此漏洞的原因是IP SLA响应器可能占用了另一个功能可以使用的端口。攻击者可以通过将特定的IP SLA控制数据包发送到受影响设备上的IP SLA响应程序来利用此漏洞。控制数据包必须包含其他已配置功能可以使用的端口号。成功的利用可能使攻击者使IP SLA响应器使用中的端口被使用,从而影响正在使用该端口的功能并导致DoS状态。

5.CVE-2020-3465CVSS评分:7.4 高

Cisco IOS XE软件中的漏洞可能允许未经身份验证的相邻攻击者导致设备重新加载。

该漏洞是由于对某些有效的但不是典型的以太网帧的不正确处理造成的。攻击者可以通过将以太网帧发送到以太网段来利用此漏洞。成功利用此漏洞可能使攻击者重新加载设备,从而导致拒绝服务(DoS)状态。

受影响产品

上述漏洞影响易受攻击的Cisco IOS 和 Cisco IOS XE软件版本的Cisco设备。具体影响哪些思科设备,可以查看下文思科官网安全公告网址

解决方案

思科已经发布了解决上述漏洞的软件更新(具体解决修复方案,可以参看思科官网),以下是修复方案重要说明:

1.对购买了许可证的软件版本和功能集提供支持,通过安装,下载,访问或以其他方式使用此类软件升级。

2.从思科或通过思科授权的经销商或合作伙伴购买的,具有有效许可证的软件可获得维护升级。

3.直接从思科购买但不持有思科服务合同的客户以及通过第三方供应商进行购买但未通过销售点获得修复软件的客户应通过联系思科技术支持中心获得升级。

4.客户应拥有可用的产品序列号,并准备提供上述安全通报的URL,以作为有权免费升级的证据。

查看更多漏洞信息 以及升级请访问官网:

https://tools.cisco.com/security/center/publicationListing.x

  • 相关推荐
  • 大家在看
  • 思科技:数字时代,半导体行业更需要建立命运共同体

    5G、人工智能、连网技术、新能源等底层技术的不断成熟驱动下游应用的电动化、智能化不断发展,从而持续推动全球半导体行业稳步增长。预计至2025年,全球半导体行业市场规模将达6300亿美元。伴随着技术的进步,消费电子、通讯、汽车、工业等各领域将迎来行业转型,进一步扩大对半导体的总需求量。伴随着数字化转型和“双碳”目标的确立,以及疫情常态化、半导体行业进入后摩尔时代,这一系列变化将对半导体行业带来哪些变革?当前产?

  • 广东思科通用电力科技有限公司正在参与2021年度“母线槽十大品牌” 评选活动

    广东思科通用电力科技有限公司是在 1983 年成立的原东莞国有电力企业基础上引进香港汉域集团,太平洋证券等种子轮投资于 2015 年正式成立。公司始终追求敬业、精益、专注、创新的“工匠精神”。引进美、德两国先进设备及工艺技术,完善母线槽全系列产品线,并根据不同的应用场景需求来配套母线槽供电系统。(运营中心)(营销中心)(生产中心)目前公司旗下拥有 2 大产品系列:中高电流母线槽系列(涵盖密集型母线槽、新型节能母?

  • 思科创建新团队专为苹果开发协作软件

    据国外媒体报道,思科 (CSCO-US) 表示,已成立一个新团队,将致力为苹果产品开发Webex协作软件。

  • 南京丹尼思科技有限公司携一手情话打造魅力彩妆,遇见更美的自己

    在日常生活中,化妆几乎成了每个女孩的必修课,人们对 “美”的追求不断提升,而彩妆作为能够快速提升外表的工具得到了消费者的认可,市场需求量也在不断增加。作为国产彩妆品牌,一手情话倾心打造彩妆系列产品,成为现代女性身边的彩妆师,只为遇见更美的自己。一手情话隶属于南京丹尼思科技有限公司旗下品牌,有着丰富的化妆品产品生产研发经验,产品囊括了口红、唇膏、眼影盘、眼线笔、粉底液等10多种系列产品,满足全脸彩妆诉?

  • B&O和思科合作推出高端商务耳机:满足在家办公用户需求

    BangOlufsen 近日宣布和思科公司合作,推出了 The BangOlufsen Cisco 980 奢华商务耳机,主要面向那些办公新常态的员工而设计的。这款耳机具备蓝牙 5.1 无线连接,并配有自适应主动降噪功能。因此远程工作者可以专注于他们正在做的事情,聆听背景音乐而不会被家里其他地方发生的事情打扰。自然,BO 承诺提供顶级的沉浸式音频体验。耳罩上的控制按钮允许用户接听电话、使对话静音、暂停播放等等,而波束成形麦克风阵列可以在通话和?

  • 瑞士信贷:思科股价或恢复互联网泡沫期间荣光

    瑞士信贷分析师发布投资报告称,“当前投资者的看法谨慎乐观,但我们认为,随着思科实施重复营收计划,完成长期业绩目标,投资者的谨慎态度会减弱。”瑞士信贷将思科股票评级由“中性”上调至“跑赢大盘”,并将目标股价由56美元上调至74美元。新的目标股价意味着思科股价在当前水平上还有约29%上涨空间,可以上涨至自2000年4月份以来的最高水平。

  • 思科评级遭摩根士丹利下调 股价过去3个月已累计上涨8.6%

    凤凰网科技讯 北京时间9月10日消息,在摩根士丹利分析师梅塔马歇尔(Meta Marshall)将股票评级由“增持”下调至“与大盘持平”后,盘前交易中思科股价一度下跌1.4%。常规交易中思科跌0.08美元,跌幅为0.14%,报收于58.6美元,盘中一度探底58.25美元。马歇尔在投资报告中写道,“我们仍然看好需求,但市盈率的提高将要求思科在包括软件转型在内的两个方面取得更大进展。虽然它们占到思科营收的约三分之一,但我们预计,这两个方面?

  • 阿伐那非国内首仿上市 海思科携手阿里健康大药房线上首发

    9月6日起,海思科全国首仿PDE-5抑制剂阿伐那非片(中文商品名:海驰)正式在阿里健康大药房“男性健康中心”首发上线。阿里健康还将携手海思科,为用户提供男科健康知识科普、在线咨询、用药指导等配套服务。图:阿里健康线上“男科中心”页面ED即“勃起功能障碍”,是一种常见的男科疾病。但长期以来,社会舆论环境针对ED疾病的敏感,让其成为诸多男性患者的难言之隐。据《中国男科疾病诊断治疗指南与专家共识》资料显示:ED主要?

  • 思科确认收购以色列云服务应用解决方案初创公司Epsagon

    美国科技巨头思科系统公司已经证实了上周五《Globes》的报道,它将收购以色列云服务应用解决方案公司Epsagon。公司目前没有披露财务细节,但接近此事的消息人士称,思科将为这笔交易支付5亿美元。思科执行副总裁、首席战略官兼应用部总经理Liz Centoni表示很高兴宣布其打算收购Epsagon有限公司,这是一家私有的互联网云服务运营洞察力解决方案公司,在纽约和特拉维夫设有办事处。Epsagon的技术和人才为企业客户带来了具有深度业务?

  • 思科技收购BISTel半导体和平板显示解决方案

    6月27日消息,新思科技近日宣布已签署最终协议,收购BISTel半导体和平板显示解决方案。BISTel总部位于韩国,是面向半导体智能制造工程设备系统和人工智能应用领域的领先企业。此次收购完成后,新思科技将通过集成全面的良率管理和预测解决方案,进一步扩展其行业领先的半导体制造流程控制解决方案,协助客户提高生产质量和效率。此次收购还将为新思科技带来一支经验丰富的工程师团队,未来将能够通过实时制造预测分析来

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天