Cisco 發布多個產品的安全公告

風險等級: 高度威脅
摘 要: 弱點通告:Cisco發布多個產品的安全公告,建議請管理者儘速評估更新!
影響系統:
  • IP Phone with Multiplatform Firmware 6800、7800、8800 Series 11.3.7 (含)之前版本
  • Compact High-Performance Routers ASR 9000、9902、9903 Series IOS XR 7.5 (含)之前版本
  • Compact High-Performance Routers ASR 9000、9902、9903 Series IOS XR 7.6 (含)之前版本
  • Compact High-Performance Routers ASR 9000、9902、9903 Series IOS XR 7.7 (含)之前版本
  • Cisco APIC Release 5.2 (含)之前版本
  • Cisco APIC Release 6.0 (含)之前版本
  • Cisco Cloud Network Controller Release 5.2 (含)之前版本
  • Cisco Cloud Network Controller Release 25.1 (含)之前版本
解決辦法: 請參考 Cisco官方網站的說明和處理建議:
https://tools.cisco.com/security/center/publicationListing.x
(1) IP Phone with Multiplatform Firmware 6800、7800、8800 Series 11.3.7SR1 (含)之後版本
(2) Compact High-Performance Routers ASR 9000、9902、9903 Series IOS XR 7.5.3 (含)之後版本
(3) Compact High-Performance Routers ASR 9000、9902、9903 Series IOS XR 7.6.2 (含)之後版本
(4) Compact High-Performance Routers ASR 9000、9902、9903 Series IOS XR 7.7.1 (含)之後版本
(5) Cisco Application Policy Infrastructure Controller 5.2(7g) (含)之後版本
(6) Cisco Application Policy Infrastructure Controller 6.0(2h) (含)之後版本
(7) Cisco Cloud Network Controller Release 5.3 (含)之後版本
(8) Cisco Cloud Network Controller Release 25.2 (含)之後版本
細節描述: Cisco近日發布更新,以解決多個產品的安全性弱點。

Cisco IP Phone 6800、7800、8800 Series Web UI Vulnerabilities Cisco IP Phone 的 Web 管理介面中存在多個弱點,可能允許未經身份驗證的遠端攻擊者執行任意程式碼或導致阻斷服務 (DoS)情況。

Cisco IOS XR Software for ASR 9000 Series Routers Bidirectional Forwarding Detection Denial of Service Vulnerability Cisco ASR 9000 系列路由器、ASR 9902 高性能路由器和 ASR 9903 高性能路由器的 Cisco IOS XR軟體的雙向轉發檢測 (BFD) 硬體移除功能中的弱點可能允許未經身份驗證的遠端攻擊者導致網路卡重置,從而導致阻斷服務 (DoS) 情況。
此弱點是錯誤執行了啟用 BFD 硬體移除功能的網路卡上收到的格式錯誤的 BFD 封包。攻擊者可以通過向受影響的設備發送特製的 IPv4 BFD封包來利用此弱點。成功的利用可能允許攻擊者網路卡異常或硬體重置,從而導致網路卡重新執行時該網路卡上的流量流失。

Cisco Application Policy Infrastructure Controller and Cisco Cloud Network Controller Cross-Site Request Forgery Vulnerability Cisco Application Policy Infrastructure Controlle (APIC) 和 Cisco Cloud Network Controller Release 的 Web 管理介面中存在弱點,可能允許未經身份驗證的遠端攻擊者對網路進行跨站點請求偽造(CSRF) 攻擊。
此弱點是由於受影響系統上的 Web 管理介面 CSRF防護不足所致。攻擊者可以通過誘使使用戶點擊惡意連結來利用此弱點。成功利用可能允許攻擊者以受影響用戶的權限級別執行任意操作。如果受影響的用戶擁有管理權限,這些操作可能修改系統配置或創建新的特權帳戶。

參考資訊: US-cert
Cisco
Cisco
Cisco
Cisco

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *