Cisco 近日發布更新以解決多個產品的安全性弱點

風險等 級: 高度威脅
摘   要:

Cisco 近日發布更新,以解決多個產品的安全性弱點。

目前已知會受到影響的產品如下:Cisco Intelligent Proximity solution for (Cisco Intelligent Proximity application、Cisco Jabber、Cisco Webex Meetings、Cisco Webex Teams、Cisco Meeting App)、Cisco Prime Network Registrar (CPNR) 10.0 (含)之前版本、(Cisco Webex Network Recording、Cisco Webex Player) WBS 39.11.0 (含)之前版本 (Cisco Webex Meetings)、(Cisco Webex Network Recording、Cisco Webex Player) 1.3.43 (含)之前版本 (Cisco Webex Meetings Online)、(Cisco Webex Network Recording、Cisco Webex Player) 4.0MR2Security Patch2 (含)之前版本 (Cisco Webex Meetings Server)。

影響系 統:
  • Cisco Intelligent Proximity solution for (Cisco Intelligent Proximity application)
  • Cisco Intelligent Proximity solution for (Cisco Jabber)
  • Cisco Intelligent Proximity solution for (Cisco Webex Meetings)
  • Cisco Intelligent Proximity solution for (Cisco Webex Teams)
  • Cisco Intelligent Proximity solution for (Cisco Meeting App)
  • Cisco Prime Network Registrar (CPNR) 10.0 (含)之前版本
  • Cisco Webex Network Recording WBS 39.11.0 (含)之前版本 (Cisco Webex Meetings)
  • Cisco Webex Network Recording 1.3.43 (含)之前版本 (Cisco Webex Meetings Online)
  • Cisco Webex Network Recording 4.0MR2Security Patch2 (含)之前版本 (Cisco Webex Meetings Server)
  • Cisco Webex Player WBS 39.11.0 (含)之前版本 (Cisco Webex Meetings)
  • Cisco Webex Player 1.3.43 (含)之前版本 (Cisco Webex Meetings Online)
  • Cisco Webex Player 4.0MR2Security Patch2 (含)之前版本 (Cisco Webex Meetings Server)
解決辦 法:

請參考 Cisco 官網並依建議方式處理

細節描 述:

Cisco 近日發布更新,以解決多個產品的安全性弱點。

(1)Cisco Intelligent Proximity solution 中的 SSL 憑證管理存在弱點。遠端攻擊者可通過使用中間人技術,利用該弱點攔阻受影響主機端和端點間流量,進而偽造憑證並透過端點查看或修改主機端資訊。
(2)Cisco Cisco Prime Network Registrar (CPNR) 的 Web 端口存在跨站請求偽造弱點。遠端攻擊者可通過誘使用戶點擊惡意連結利用該弱點修改設備配置,進而可以編輯或創建任意權限用戶的帳戶。
(3)Cisco Webex Network Recording Player (Windows)、Cisco Webex Player (Windows) 存在輸入驗證錯誤弱點。由於程序未充分驗證 ARF 或 WRF 格式的 Webex 記錄資訊,攻擊者可藉由發送偽造 ARF 或 WRF 檔案進而以目標用戶權限在系統上執行任意程式碼。

參考資 訊:

US-CERT (2020/03/05)
Cisco Intelligent Proximity solution (2020/03/04)
Cisco Prime Network Registrar (2020/03/04)
Cisco Webex (2020/03/04)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *