思科安全顾问转储发现20个警告,2关键

思科披露的漏洞严重程度为“危急”或“高”,但现在也包括“中等”威胁。

高级编辑,有个足球雷竞技app |

Ilya巴甫洛夫/ Unsplash(CC0)

这是一个糟糕的一周的一切事物的网络安全作为思科喷出了20个安全公告和警报 - 两个关键和三个高影响力 - 客户应了解并实施补丁在这里他们可以。

思科和其他大型企业供应商一样,会定期发布安全警告,但对这家网络巨头来说,一天发布20个安全警告是不寻常的。像微软和甲骨文这样的公司每个月都会发布大量的安全公告,大多数都没有什么大张旗鼓的宣传,比如微软三月份发布的安全公告18个安全公告拆分成九个关键和九个重要的安全更新。

+更多关于网络世界有个足球雷竞技app:思科高管预测2017年企业网络发展趋势+

据思科但是没有为上扬的理由:

“为了更好地帮助我们的客户计划管理他们的网络更新,以响应已发布的警告,我们已经开始包括“中等”严重性的警告,作为更结构化的披露过程的一部分。”在过去,只要有必要的信息,媒体漏洞就会立即发布,但不是按照预先确定的时间线发布。今天更高的数字是由于这一过程的变化,虽然不表明全面增加披露,”思科告诉有个足球雷竞技app。直到最近,思科才会发布严重级别为“高”或“关键”的漏洞安全建议。事实上,在本周的名单中中,20 15被认为是“中等”。

本周两个重要的警告被有关Apache Struts的脆弱性上周,该公司披露了与思科(Cisco)的Mobility Express 1800系列接入点有关的信息。

思科公司的安全团队上周呼吁在Apache的Struts的“关键”的弱点,这周发表弱势产品的列表这里是学习他们的。其中,思科统一通信管理IM&存在服务;思科统一通信管理器会话管理版;和思科统一通信管理器 - 都可以解决这个问题的补丁,思科表示。

+更多关于网络世界有个足球雷竞技app:思科深化企业网络虚拟化,DNA一套安全检测+

上周,Apache公开了在Apache Struts2中使用的Jakarta multipart解析器中的一个漏洞,该漏洞允许攻击者使用所谓的精心设计的内容类型头值在目标系统上远程执行命令。

思科在写它警告:“该漏洞执行基于受影响软件的雅加达多解析器文件上传时,是由于处理的Content-Type头值不正确的。攻击者可以通过说服目标用户上传恶意文件利用此漏洞。一旦受影响应用程序的雅加达多解析器上传文件时,攻击者可能不得不执行任意代码的能力。任何变通办法,如果可用,将在思科的错误,这是访问通过Cisco Bug的搜索工具记录。思科已经发布了免费的软件更新地址的漏洞在这个通报中描述。客户只可以安装并期待软件版本以及他们已购买许可证的功能集的支持“。

另一个重要警告来自思科移动快车。在该无线局域网产品中,该漏洞是由于使用GUI界面访问某些web页面的身份验证实现不当造成的。攻击者可以通过向受影响系统的web接口发送一个精心设计的HTTP请求来利用此漏洞。成功的攻击可能允许攻击者绕过身份验证,执行未经授权的配置更改或向受影响的设备发出控制命令。此漏洞影响Cisco Mobility Express 1800系列接入点在8.2.110.0之前运行的软件版本在咨询中写道

思科表示,它已经发布了解决这个问题的软件更新。

包括高度警惕产品:

思科无线局域网控制器:

思科写到,思科无线局域网控制器(WLC)软件的网格代码中的一个漏洞,可能允许一个未经身份验证的远程攻击者在网格拓扑中模拟WLC。此漏洞是由于网格配置中父访问点的身份验证不足造成的。攻击者可以利用这个漏洞,迫使目标系统从正确的父访问点断开连接,并重新连接到攻击者拥有的流氓访问点。攻击者可以利用漏洞控制通过受影响的访问点的流量,或者完全控制目标系统。思科已经发布了解决这一漏洞的软件更新。请注意,除了升级到固定版本之外,还需要进行其他配置。没有解决这一弱点的变通办法。

思科作业自动化和潮汐企业调度客户端管理器服务器:

Cisco工作负载自动化和Cisco Tidal企业调度程序的客户端管理器服务器中的一个漏洞可能允许未经身份验证的远程攻击者从客户端管理器服务器检索任何文件。该漏洞是由于输入验证不足造成的。攻击者可以通过向客户端管理器服务器发送一个精心设计的URL来利用此漏洞。攻击者可以利用这个漏洞从Cisco Workload Automation或Cisco Tidal Enterprise Scheduler Client Manager服务器检索任何文件。思科已经发布了解决这一漏洞的软件更新。思科表示,没有解决这一漏洞的变通办法。

思科StarOS SSH权限提升:

在思科ASR 5000系列,ASR 5500系列,ASR 5700台系列设备,和Cisco虚拟分组核心操作系统StarOS的安全外壳(SSH)子系统甲权限提升漏洞可能允许验证,远程攻击者获得无限制的,根壳访问。该漏洞是由于缺少的SSH或SFTP登录期间传递的参数输入验证。攻击者可以通过对SSH或SFTP登录时的SSH或SFTP命令行界面(CLI)提供制作的用户输入利用此漏洞。一个漏洞可能允许经过身份验证的攻击者能够在路由器上的root权限访问。仅针对受影响的系统流量可以被用来利用此漏洞。此漏洞可以通过IPv4和IPv6流量触发。朝港口22时,SSH默认端口建立的TCP连接,需要进行攻击。攻击者必须拥有有效的凭据登录到通过SSH或SFTP系统。思科已经发布了针对该漏洞的软件更新,思科写道。

加入对网络世界的社有个足球雷竞技app区Facebook的LinkedIn对那些顶级心态的话题发表评论。
相关:

迈克尔·库尼(Michael Cooney)是Network World的高级有个足球雷竞技app编辑,他撰写关于IT世界的文章已经超过25年。可以找到他michael_cooney@idg.com

版权©2017Raybet2

工资调查:结果在