首页 > 动态 > 关键词 > 思科最新资讯 > 正文

云安全日报200925:思科互联网操作系统发现执行任意代码高危漏洞,需要尽快升级

2020-09-25 16:06 · 稿源:TechWeb.com.cn

Cisco IOS和Cisco IOS XE是思科(Cisco)公司旗下路由器和交换机等网络设备广泛采用的互联网操作系统。

9月24日,思科公司发布了一系列补丁程序,目的是修复网络巨头无处不在的互联网操作系统(IOS)中的漏洞。这些补丁修复了各种产品的漏洞,解决了拒绝服务、文件覆盖和输入验证攻击,特权升级,执行任意代码等问题。以下是漏洞详情:

漏洞详情

据思科安全公告显示,所通报的这些漏洞中严重性等级为高的有29个,严重等级为中等的有13个。不过最值得注意的是,许多漏洞打开了安全大门,使远程未经身份验证的攻击者可以在目标系统上执行任意代码。

1.CVE-2020-3400 CVSS评分:8.8 高危

Cisco IOS XE软件的Web UI功能中的漏洞可能允许经过身份验证的远程攻击者利用未经授权的Web UI部分。

该漏洞是由于Web UI访问请求的授权不足所致。攻击者可以通过向Web UI发送精心设计的HTTP请求来利用此漏洞。成功的利用可能使攻击者利用未经授权的Web UI部分。这可以允许只读用户执行管理员操作,执行任意代码。

2.CVE-2020-3421,CVE-2020-3480CVSS评分:8.6 高危

这两个高严重等级CVE均与思科基于区域的防火墙中的一个漏洞相关。这两个漏洞并不相互依赖,无需利用其中一个漏洞即可利用另一个漏洞。此外,受其中一个漏洞影响的软件版本可能不受其他漏洞影响。

思科表示,该漏洞是由于未通过设备处理第4层数据包引起的。攻击者可以通过设备发送一定顺序的流量模式来利用这些漏洞。成功的利用可能使攻击者导致设备重新加载或停止通过防火墙转发流量,从而导致拒绝服务。

3.CVE-2020-3408CVSS评分:8.6 高危

Cisco IOS软件和Cisco IOS XE软件的Split DNS功能中的漏洞可能允许未经身份验证的远程攻击者重新加载受影响的设备,从而导致拒绝服务(DoS)状态。

发生此漏洞的原因是,与受影响版本的“Split DNS”功能配合使用的正则表达式(regex)引擎在处理DNS名称列表配置时可能会超时。攻击者可以通过尝试解析受影响的设备处理的地址或主机名来利用此漏洞。成功利用该漏洞可能使攻击者重新加载设备,从而导致DoS状态。

4.CVE-2020-3422CVSS评分:8.6 高

Cisco IOS XE软件的IP服务级别协议(SLA)响应器功能中的漏洞可能允许未经身份验证的远程攻击者导致IP SLA响应器重用现有端口,从而导致拒绝服务(DoS)状态。

存在此漏洞的原因是IP SLA响应器可能占用了另一个功能可以使用的端口。攻击者可以通过将特定的IP SLA控制数据包发送到受影响设备上的IP SLA响应程序来利用此漏洞。控制数据包必须包含其他已配置功能可以使用的端口号。成功的利用可能使攻击者使IP SLA响应器使用中的端口被使用,从而影响正在使用该端口的功能并导致DoS状态。

5.CVE-2020-3465CVSS评分:7.4 高

Cisco IOS XE软件中的漏洞可能允许未经身份验证的相邻攻击者导致设备重新加载。

该漏洞是由于对某些有效的但不是典型的以太网帧的不正确处理造成的。攻击者可以通过将以太网帧发送到以太网段来利用此漏洞。成功利用此漏洞可能使攻击者重新加载设备,从而导致拒绝服务(DoS)状态。

受影响产品

上述漏洞影响易受攻击的Cisco IOS 和 Cisco IOS XE软件版本的Cisco设备。具体影响哪些思科设备,可以查看下文思科官网安全公告网址

解决方案

思科已经发布了解决上述漏洞的软件更新(具体解决修复方案,可以参看思科官网),以下是修复方案重要说明:

1.对购买了许可证的软件版本和功能集提供支持,通过安装,下载,访问或以其他方式使用此类软件升级。

2.从思科或通过思科授权的经销商或合作伙伴购买的,具有有效许可证的软件可获得维护升级。

3.直接从思科购买但不持有思科服务合同的客户以及通过第三方供应商进行购买但未通过销售点获得修复软件的客户应通过联系思科技术支持中心获得升级。

4.客户应拥有可用的产品序列号,并准备提供上述安全通报的URL,以作为有权免费升级的证据。


查看更多漏洞信息 以及升级请访问官网:

https://tools.cisco.com/security/center/publicationListing.x

  • 相关推荐
  • 大家在看
  • 思科被判专利侵权:需支付19亿美元赔偿金

    据媒体报道,在经过一个月的无陪审团审判后,弗吉尼亚州诺福克(Norfolk)的美国地区法官亨利·摩根(Henry Morgan)判定,思科侵犯了弗吉尼亚州私人持股公司Centripetal Networks的四项专利,但并未侵犯另一项专利。

  • 思科败诉:因专利侵权被判赔付32亿美元,成为迄今为止美国专利案中最大一笔赔偿

    思科又一次因专利侵权而败诉。10 月 6 日,美国弗吉尼亚州地方法院作出了最终裁决,思科系统公司(Cisco)因侵犯网络安全专利须向Centripetal Networks公司赔付 32 亿美元。这是迄今为止美国专利案件中最大的一笔赔偿金。

  • 蓝思科技辟谣承接欧菲光订单:没对外发布相关消息

    今日,针对“蓝思科技承接欧菲光订单”的传闻,蓝思科技相关人士表示:我们没对外发布承接欧菲光订单相关消息,蓝思智控本来就是苹果触控Film sensor的供应商。

  • 蓝思科技回应前员工贪腐案:不会对生产经营造成重大不利影响

    近日,蓝思科技在互动平台就前员工受贿案一事回应:该前员工为公司业务管理人员,不是公司董监高,该事件纯属其个人违法行为,不曾也不会对公司生产经营造成重大不利影响。公司发现该情况后,立即按照公司相关管理制度和规定,对该员工给予开除处分。同时,公司积极配合公安和司法调查取证,其已受到了法律严惩。

  • 得罪不起!程序员离职后一段代码让思科损失240万美元

    据外媒报道,思科的一位程序员在离职后入侵思科代码库,一段代码导致思科损失了超过240万美元。思科前员工Sudhish Kasaba Ramesh已在圣何塞联邦法院认罪,承认自己非法入侵思科的云基础设施,

  • 思科前员工为报复恶意删除400多台虚拟机,公司损失超1600万

    一位前思科员工于本周三在圣何塞联邦法院认罪,称其曾非法访问思科公司的 Amazon Web Services 基础设施,并对其云计算资源施以破坏。

  • 匀思科技:成为创业者口中“信赖的企业” 专业度决定行业地位

    据匀思电商和淘宝数据同时显示,今年疫情以来,上淘宝开店的人越来越多,平均每天有 4 万人涌入淘宝开新店,而这些店主的平均年龄只有 25 岁。来自匀思电商淘宝网店创业一员的张俊洪表示“淘宝就是创业最好的地方,你想的到的和想不到的各种神奇商品,都能在淘宝上做起来。”淘宝直播首秀惨败由于今年年初新冠疫情爆发,对线下行业造成的冲击,各大门店顶不住压力纷纷宣布倒闭的不在少数,直到今年 7 月份最后的一个线下行业——电

  • 云安全日报:思科厂商发现BootHole漏洞,需要尽快升级

    思科(Cisco)于8月4日晚,针对先前广为人知的BootHole漏洞发布了安全公告。思科表示,目前而言,特定产品漏洞暂未有可用的解决办法,但是思科正在调查其产品线,以确定哪些产品和云服务可能受此漏洞影响。随着调查的进行,思科将使用有关受影响的产品和服务的信息更新此通报。BootHole漏洞这里,我们先回顾下BootHole漏洞。7月29日,安全研究员在GRUB2引导加载程序中发现了一个名为BootHole的严重漏洞(代号CVE-2020-10713)。该漏

  • 思科发布5个高危安全补丁,RV系列路由器赶紧升级!

    思科(Cisco)于7月17日发布了安全公告,修复了5个影响RV系列VPN路由器和防火墙的高危安全漏洞。以下是漏洞详情:1.防火墙静态默认证书漏洞(CVE-2020-3330)思科小型企业RV110W Wireless-N VPN防火墙路由器的Telnet服务中的漏洞可能允许未经身份验证的远程攻击者完全控制具有高特权帐户的设备。存在此漏洞是因为系统帐户具有默认和静态密码。攻击者可以通过使用此默认帐户连接到受影响的系统来利用此漏洞。成功的利用可能使攻击者获?

  • 思科数据中心管理系统爆出大量漏洞,或将影响所有Nexus和MDS系列交换机

    Cisco Data Center Network Manager(DCNM)是美国思科(Cisco)公司的一套数据中心管理系统。该系统适用于Cisco Nexus和MDS系列企业交换机,提供存储可视化、配置和故障排除等功能。Nexus 系列交换机为不同企业提供多种规格,可实现经验证的高性能、高密度(最高达 400G),以及低时延和出色的能效。这些交换机可编程性高,提供行业领先的软件定义网络,可助力实现数据中心自动化。2020年第一季度,思科交换机和路由器全球市场占

  • 思科Cisco SD-WAN vManage软件爆发多个漏洞,影响大范围设备,赶紧升级修复

    Cisco SD-WAN vManage Software是美国思科(Cisco)公司的一款用于SD-WAN(软件定义广域网络)解决方案的管理软件。不过根据7月安全漏洞调查显示,该管理软件爆出了多个高危漏洞。以下是漏洞详情:1.拒绝服务漏洞CVE-2020-3372该漏洞是由于内存管理效率低下造成的。攻击者可以通过向受影响的基于Web的管理界面发送大量精心设计的HTTP请求来利用此漏洞。成功利用该漏洞可能使攻击者耗尽系统内存,这可能导致系统停止处理新连接并可?

  • 外媒:三星电子获思科和谷歌订单 从IC设计到晶圆代工一手包办

    8月5日消息,据国外媒体报道,知情人士称,三星电子获得了思科和谷歌的订单,将从IC(集成电路)设计到晶圆代工一手包办。三星电子知情人士称,今年稍早三星取得思科订单,要开发次世代的电信网络芯片,思科把IC设计和晶圆代工业务都交给三星。另外,三星也要替谷歌制造一款以上的芯片,该芯片将用于侦测人体行动的传感器。三星采取不同策略,利用该公司的IC设计强项。传统晶圆代工厂专注生产业务,三星希望提供不同服

  • 蓝思科技:上半年订单192亿元 产能已不能满足生产需求

    7月30日,蓝思科技(300433.SZ)最新披露:2020 年1-6 月向前五大客户的销售金额为119.95亿元,同比增加48.19%,大客户2020 年上半年发布的热销新机型防护玻璃由公司独家供应,安卓系3D防护玻璃供不应求。截至2020年6月底,公司各类产品的在手订单金额为192.47亿元。由于订单充足,公司目前产能已不能满足在手订单生产需求。7月13日晚,蓝思科技发布业绩预告,公司预计,今年上半年将盈利19.08亿元至19.24亿元。去年同期

  • 苹果供应商蓝思科技拟以99亿元收购可成科技部分业务

    8月19日消息,苹果供应商蓝思科技、可成科技昨日发布公布,双方达成协议,蓝思科技拟以99亿元收购可成科技部分业务。蓝思科技蓝思科技全资子公司蓝思国际以现金99.00亿元收购可成科技持有的可胜科技(泰州)有限公司(简称“可胜泰州”)以及可利科技(泰州)有限公司(简称“可利泰州”)各100%的股权。蓝思科技为蓝思国际履约提供担保,可成科技为卖方履约提供担保。蓝思科技表示,公司的主营业务为玻璃、蓝宝石、陶

  • Mida Solutions爆出多个漏洞,或殃及微软,思科,惠普,中国电信等40余名企

    Mida Solutions是一家专注于统一通信(UC)的高技能意大利公司。自2004年以来,它提供独特的专业知识以及一整套高级服务和语音应用程序,其使命是为通信提供增值的创新技术。Mida团队已成为统一协作和专业沟通的全球领导者,几乎所有行业的服务提供商,系统集成商。其合作伙伴有微软,思科,惠普,中国电信等40个世界知名企业。Mida eFramework是Mida Solutions公司旗下视频和语音应用程序的完整服务套件,与几乎所有主要的UC平台兼容。

  • 苹果供应商蓝思科技上半年实现营收155.7亿元 同比增长37%

    8月18日消息,苹果供应商蓝思科技昨晚发布了2020年半年度报告。报告显示,蓝思科技上半年实现营收155.7亿元,同比增长37%。蓝思科技财务数据蓝思科技上半年实现净利润19.12亿元,较上年同期增长1,322.42%;经营活动产生的现金流量净额25.41亿元,较上年同期增长46.92%;基本每股收益0.44元,较上年同期增长1,203.27%。超额完成了上半年经营目标。蓝思科技表示,2019年上半年亏损的下属子公司在报告期内继续稳步改善,?

  • 思科否认收购爱立信诺基亚,不愿投资利润较低业务

    在5G领域华为已经被公认为是该领域的领跑者,但美国政府一直希望打压华为,同时为美国企业创造更多的在5G通信领域的发展空间。就在近日外媒报道称,美国政府希望包括思科在内的美国网络公司会面,讨论收购通信巨头爱立信和诺基亚。《华尔街日报》援引未具名消息人士的话说,它也在考虑给予爱立信和诺基亚减税和融资。

  • 思科加强网络可视性,实现更智能的自动化

    思科基于意图的网络产品组合增加多项新功能,实现更强大的控制性、安全性和可视性 新闻摘要: ● 通过直观、自动化的策略轻松进行网络分段,并确保网络安全。 ● 思科DNA中心和思科DNA Spaces为物联网终端提供更完整的可视性。 ● 思科SD-WAN通过与思科Umbrella集成,帮助客户向SASE(安全访问服务边缘)体系架构演进。 2020 年 6 月 18 日,北京—Cisco Live Digital—今日,思科宣布推出新的基于意图的网络解决方案,旨在帮助客?

  • 思科Webex助力客户高效远程办公,重塑工作模式

    Webex扩大容量、添加更多安全和智能洞察功能,赋能远程医疗 新闻摘要: ● Webex平台迎来了前所未有的市场需求,应用规模达到正常水平的三倍之多 。 ●作为最值得信赖的业务连续性供应商,思科在扩展全球容量上持续投资,提高Webex的弹性。 ● 为了确保客户可以随时随地轻松、安全地开展协作,思科为Webex添加了更多安全功能,并增加了与Box的全新集成 。 ● Webex Control Hub的智能和可行性洞察功能 可帮助IT人员管理不断扩大的

  • 360收购数据安全公司瀚思科技 具体金额不详

    今日360宣布全资收购瀚思科技,具体金额不详。本次交易由红华资本担任独家战略投资和财务顾问。瀚思科技是一家大数据安全分析公司,成立于2014年,还是全球网络安全500强、中国网络安全50强,也是唯一进入 Gartner 2020 SIEM全球魔力象限(SIEM是全球公认的安全对抗战略制高点和政企安门户级产品)的中国公司,其他入选的厂商皆来自美国。瀚思科技CEO高瀚昭谈到:“360+瀚思的结合,不是简单体量和能力的

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签