思科在路由器和会议服务器软件中修补严重缺陷
思科系统本周发布了修补程序,可在其IOS软件中发布修补程序,用于网络设备和思科和WebEx会议服务器。
最严重的漏洞会影响思科网络融合系统(NCS)6000系列路由器的Cisco IOS XR软件。它可以导致拒绝服务条件,在非操作状态下留下受影响的设备。
未经身份验证的,远程攻击者可以通过在Secure Shell(SSH),安全复制协议(SCP)或安全FTP(SFTP)上启动到受影响的设备的许多管理连接来利用漏洞。
因为它可以影响一个关键设备的可用性,如路由器,因为思科已经评定了这种漏洞,这是高度严重性。没有解决方法,建议客户安装新发布的修补程序。
Cisco IOS XR软件中的另一个缺陷可能允许攻击者在具有root权限的操作系统上执行任意命令。此漏洞影响IOS XR软件版本6.0.1.base,并且被额定的中等严重性,因为攻击者需要被身份验证为本地用户。
拒绝服务漏洞也已在Cisco IOS软件中修复。它可以用于通过向它们发送特制的链接层发现协议(LLDP)数据包来崩溃运行软件的受影响版本的设备。利用不需要身份验证,但需要攻击者处于发送LLDP数据包的位置。
Cisco的ASR 5000系列载波类平台的固件,用于3G和LTE网络,接收了一个修复不安全的SNMP(简单网络管理协议)实现的更新。弱点将允许攻击者读取和修改设备配置。
思科的会议服务器也是本周的补码的焦点。Cisco会议服务器的HTTP接口中的一个漏洞,以前的Acano会议服务器,可能允许攻击者启动对界面用户的持久跨站点脚本(XSS)攻击。
攻击者可以通过欺骗用户点击恶意制作的链接来利用此缺陷,然后在Cisco会议服务器界面的上下文中可以在其浏览器中执行Rogue JavaScript代码。这可用于窃取身份验证cookie或强制执行未经授权的操作。
两个XSS漏洞也在Cisco WebEx会议服务器版本2.6中修复,其中一个在其管理界面中,一个在用户界面中。两者都可以通过欺骗用户访问专门制作的链接,并可能导致进一步的攻击。
Cisco WebEx会议服务器还收到了SQL注入漏洞的修补程序,可以允许攻击者从其数据库中提取信息和命令注入漏洞。