思科爆出严重漏洞CVE-2022-20968,更新补丁明年一月才能发布

admin 2023年1月7日15:59:38安全新闻评论12 views883字阅读2分56秒阅读模式

根据披露,近日思科发布了新的安全公告,指出IP电话(网络电话)7800和8800系列某个固件中存在高危漏洞,一旦攻击者成功利用该漏洞,或引发远程代码执行或拒绝服务(DoS)情况(CVE-2022-20968)。

思科爆出严重漏洞CVE-2022-20968,更新补丁明年一月才能发布

思科公司是全球领先的网络解决方案供应商。Cisco的名字取自San Francisco(旧金山),那里有座闻名于世界的金门大桥。可以说,依靠自身的技术和对网络经济模式的深刻理解,思科成为了网络应用的成功实践者之一。

该漏洞被追踪为 CVE-2022-20968(CVSS 评分:8.1),由 Qianxin Group Legendsec Codesafe 团队的 Qian Chen 发现并报告。据悉,漏洞产生的原因是在收到 Cisco 发现协议(CDP)数据包时,存在输入验证不足的情况,思科目前正在积极开发新补丁来解决漏洞问题。

注:通过运行 CDP 协议,思科设备能够在与它们直连的设备之间分享有关操作系统软件版本,以及 IP 地址,硬件平台等相关信息。(默认情况下自动开启。)

2022 年 12 月 8 日,Cisco 在一份公告中表示,潜在攻击者可以通过向受影响设备发送“精心制作”的思科发现协议流量来利用这一漏洞,若成功利用漏洞,潜在攻击者能够造成堆栈溢出,导致受影响设备上可能出现远程代码执行或拒绝服务(DoS)的情况。

值得一提的是,漏洞主要影响运行固件版本 14.2 及更早版本的Cisco IP 电话,思科方面声称目前暂时没有更新补丁和解决方案来解决该问题,但公司正在加紧开发更新补丁,计划在 2023 年 1 月发布。

此外,在同时支持 CDP 和链路层发现协议(LLDP)用于邻居发现的部署中,用户可以选择禁用 CDP,以便受影响的设备能够切换到 LLDP,向局域网(LAN)中直连的对等设备公布其身份和能力。这种变化可能会带来其它安全风险,需要企业努力评估设备可能会受到的任何潜在影响。

最后,思科强调,CVE-2022-20968 漏洞虽已被公开披露,但迄今为止,没有证据表明该漏洞在野外被积极滥用。


原文始发于微信公众号(郑州网络安全):思科爆出严重漏洞CVE-2022-20968,更新补丁明年一月才能发布

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月7日15:59:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  思科爆出严重漏洞CVE-2022-20968,更新补丁明年一月才能发布 https://cn-sec.com/archives/1495894.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: