思科本周发布了三条安全建议,其中两条涉及其广域应用服务(WAAS)广域网优化设备和内容和视频网络齿轮,第三个是运行多个产品OSPF.. Cisco发布了解决所有产品组中漏洞的免费软件更新。
其中两个漏洞会影响被配置为中央经理或在中央管理模式中运行的WAA和内容/视频产品。在里面瓦斯在这种情况下,当配置为中央管理器时,未经身份验证的远程攻击者可能会执行任意代码,使管理员能够访问由管理器管理的所有设备WAAS中央经理.
[简况:思科的安全咨询页面]
每个WAAS网络必须具有一个主要WAAS中央管理器设备,负责管理网络中的其他WAA设备,思科咨询状态。
建议中列出了受影响的WAAS软件。4.2.1之前的软件版本不受影响。
Cisco在解决支持案例期间发现了该漏洞。公司不知道有任何公告或恶意使用该漏洞。
这个内容和视频交付产品在中央管理模式下也存在类似问题,但该漏洞可被经过身份验证但未经授权的用户利用。攻击者可以将任意命令注入受影响设备及其关联的受管设备的操作系统中。
咨询委员会:
该漏洞是由于未能正确清理用户输入导致的,用户输入随后用于使用设备的底层命令行界面执行操作。通过登录受影响系统的GUI并向传递给系统的某些值附加任意代码,经过身份验证但未经授权的攻击者可以利用此漏洞进行攻击。
咨询中提供了受影响的产品和软件版本的列表。它指出,内部测试期间发现了命令注射漏洞。
与WAAS一样,思科表示,它不知道有任何公告或恶意使用该漏洞。
A.第三次咨询解决多个Cisco产品(其中包括IOS、IOS-XE和NX-OS)中OSPF精心编制的数据包情况。该协议的链路状态广告(LSA)数据库允许未经身份验证的攻击者完全控制OSPF自治系统域路由表和黑洞并拦截流量。
建议指出,攻击者可通过注入精心编制的OSPF数据包触发该漏洞,该数据包可刷新目标路由器上的路由表并传播精心编制的数据包。该漏洞只能通过发送精心编制的单播或多播LSA类型1数据包触发。
受影响的产品包括配置为OSPF的Cisco IOS软件 - 但不是OSPFv3;ios-xe;防火墙服务模块,包括ASA和PIX软件;NX-OS;和ASR 5000.OSPFv3不受影响,也不是织物最短路径首先。
要恢复受影响的系统,管理员可以删除OSPF配置并再次启用它,或者重新加载它。但咨询报告指出:
通过命令清除OSPF进程或路由表,如清除ip ospf过程或者清除ip路由不会产生任何影响,并且不能用于恢复受影响的系统。
Cisco表示,除了发布免费软件来解决该漏洞外,还提供了一些解决方案,例如启用OSPF身份验证。它是由英国的研究人员发现的拉斐尔先进防御系统以色列的本古里安大学。
更多来自Cisco子网:
全力以赴 Twitter上的Cisco子网博客 . 吉姆·达菲在推特上跟随