思科本周发出安全咨询因为它内容服务网关 - 第二代(CSG2),它运行IP服务和应用程序模块。CSG2根据移动数据网络的深度数据包检查提供策略管理和结算。
CSG2具有服务旁路漏洞,可根据某些配置,允许客户访问受限网站或自由访问其应计费的站点。此漏洞仅影响HTTP内容流量,咨询状态。
此外,CSG2上的Cisco IOS软件版本12.4(24)MD1包含两个漏洞,可以允许远程,未经身份验证的攻击者启动拒绝服务,该服务可防止流量通过CSG2。这些漏洞只需要在Cisco CSG2上处于活动的单个内容服务,并且可以通过Crafted TCP数据包进行咨询状态来利用。并且不需要三方握手来利用这些漏洞。
Cisco咨询国不可用的替代方法,这些漏洞不可用。
服务策略旁路漏洞在第一个固定版本之前影响CSG2的Cisco IOS软件的所有版本,可以在“软件版本和修复”部分中找到咨询。两种拒绝服务漏洞仅影响iOS 12.4(24)MD1。
思科表示,它还发布了解决这些漏洞的免费软件更新。
思科表示,一些外部博客披露了服务结算旁路漏洞,但它不知道任何恶意使用咨询中的漏洞。通过内部测试和客户支持来电。
更多来自Cisco子网:
遵守所有Twitter上的Cisco子网博主。Twitter上的Jim Duffy跟随