思科今天的安全团队称为Apache的Struts的“关键”的弱点,并正在评估它的许多产品评估的影响。
该公司表示将公布一份名单脆弱的产品在这里因为学习他们。
本周早些时候透露的Apache中的Apache Struts2的使用雅加达多分析器漏洞,该漏洞可以让攻击者利用作为acrafted了所谓的有针对性的系统上远程执行命令内容类型标头值。
- 更多的网络世界有个足球雷竞技app:思科的Jasper交易——一年之后,1800万台新的物联网设备问世,挑战依然存在+
思科在写其警告:“该漏洞执行基于受影响软件的雅加达多解析器文件上传时,是由于处理的Content-Type头值不正确的。攻击者可以通过说服目标用户上传恶意文件利用此漏洞。一旦受影响应用程序的雅加达多解析器上传文件时,攻击者可能不得不执行任意代码的能力。任何变通办法,如果可用,将在思科的错误,这是访问通过Cisco Bug的搜索工具记录。思科已经发布了免费的软件更新地址的漏洞在这个通报中描述。客户只可以安装并期待软件版本以及他们已购买许可证的功能集的支持“。
周四,在IDG新闻服务中写道在周一的Apache Struts开发人员固定的高冲击脆弱性在框架的雅加达多部分解析器。几个小时后,一个利用了出现在中国语言网站的漏洞,这几乎是紧跟着现实世界的攻击,思科研究人员表示。
该漏洞很容易被利用并允许攻击者与运行Web服务器进程的用户的权限执行系统命令。如果Web服务器配置以root身份运行,该系统被完全破坏,但在执行的代码为较低特权用户也是一个严重的安全威胁,IDG写道。
更糟糕的是,Java web应用程序甚至不需要通过Jakarta多部分解析器实现文件上传功能,这样就容易受到攻击。根据Qualys的研究人员的说法,这个组件,默认情况下是Apache Struts框架的一部分的Web服务器上的简单的存在,就足以让开采,IDG写道。
思科表示,它正在评估多种产品,其中包括了Cisco Aironet 2700个系列接入点;移动服务引擎,无线局域网控制器和UCS 6200个系列互联。
其他被评估的产品包括:
- 思科ASR 5000系列
- 思科应用策略基础架构控制器(APIC)
- 思科宽带接入中心的电信和无线
- Cisco IOS XR软件
- 思科MDS 9000系列多层交换机
- 思科Nexus 1000V InterCloud
- 思科的Nexus 1000V系列交换机
- 用于VMware vSphere的思科Nexus 1000V开关
- 思科的Nexus 3000系列交换机
- 思科Nexus 5000系列交换机
- 思科Nexus 6000系列交换机
- Cisco Nexus 7000系列交换机
- 思科Nexus 9000系列面料开关
看看其他热门故事: