| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:Cisco 近日發布更新以解決多個產品的安全性弱點,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 請參考 Cisco官網並依建議更新至最新版本: (1)Cisco AsyncOS 請更新至 12.0.3-005(含)之後的版本 12.5.2-007(含)之後的版本 14.0.1-014(含)之後的版本 (2)Cisco Intersight請更新至 1.0.9-302(含)之後的版本 (3)Cisco Firmware 請更新至 1.2.1.2(含)之後的版本 (4)Cisco Identity Services Engine 請更新至 2.6 patch10(含)之後的版本 2.7 Patch5(含)之後的版本 3.0 Patch4(含)之後的版本 (5)Cisco IP Phone 請更新至 ATA 191 模擬電話適配器 12.0(1)SR4 (含)之後的版本 ATA 191 多平台模擬電話適配器 11.2.1 (含)之後的版本 ATA 192 多平台模擬電話適配器 11.2.1 (含)之後的版本 (6) Linux 和 Mac OS 版本的 Cisco AnyConnect 安全移動客戶端 請更新至4.10.03104 (含)之後的版本 |
| 細節描述: | Cisco近日發布更新,以解決多個產品的安全性弱點。
(1)Cisco Web Security Appliance (WSA) 的Cisco AsyncOS (2)Cisco Intersight 虛擬設備基於 Web 的管理界面中存在一個弱點,該弱點可能允許經過身份驗證的遠端攻擊者對受影響的設備執行Command injection攻擊。 (3)Cisco Small Business 220 系列Smart Switches的 Link Layer Discovery Protocol (LLDP) 中存在多個弱點。未經身份驗證的攻擊者可以執行以下操作: (4)Cisco Identity Services Engine (ISE) 的 REST API 中存在一個弱點,該弱點可能允許未經身份驗證的遠端攻擊者執行Command injection 攻擊並將權限提升為root。 (5)Cisco ATA 190 系列模擬電話適配器軟體中的多個弱點可能允許攻擊者執行Command injection攻擊,從而導致遠端程式碼執行或在受影響的設備上導致阻斷服務 (DoS) 。 (6)適用於 Linux 和 Mac OS 的 Cisco AnyConnect Secure Mobility Client 的共享庫載入機制中存在一個弱點,如果在 AnyConnect 上安裝了 VPN Posture (HostScan)模塊,則該弱點可能允許經過身份驗證的本地攻擊者對受影響的設備劫持共享庫客戶。 尚有其他弱點請參考官網說明。 |
| 參考資訊: | US-cert Cisco Security Advisories Cisco Cisco Cisco Cisco Cisco Cisco |