|
一个技术交流群,非诚勿扰!谢绝卖课、病毒式加人入群! |
思科周三宣布在其半年度 IOS 和 IOS XE 安全公告包发布中修复了 11 个漏洞,其中包括 7 个高严重性漏洞。
这些高严重性漏洞中最严重的是六个拒绝服务 (DoS) 问题,它们影响了 UTD 组件、RSVP 功能、PIM 功能、DHCP 侦听功能、HTTP 服务器功能以及 IOS 和 IOS XE 的 IPv4 碎片重组代码。
据思科称,所有六个漏洞均可通过向受影响的设备发送精心设计的流量或数据包进行远程利用,无需身份验证。
第七个高严重性漏洞影响 IOS XE 的基于 Web 的管理界面,如果未经身份验证的远程攻击者诱骗经过身份验证的用户点击精心设计的链接,则会导致跨站点请求伪造 (CSRF) 攻击。
思科每半年发布的 IOS 和 IOS XE 捆绑公告还详细介绍了四个中等严重程度的安全缺陷,这些缺陷可能导致 CSRF 攻击、保护绕过和 DoS 情况。
这家科技巨头表示,目前尚未发现这些漏洞被利用。更多信息请参阅思科的安全公告捆绑出版物。
周三,该公司还宣布了针对影响 Catalyst Center SSH 服务器的两个高严重性漏洞的补丁,漏洞编号为 CVE-2024-20350,以及 Crosswork 网络服务编排器 (NSO) 和 ConfD 的 JSON-RPC API 功能,漏洞编号为 CVE-2024-20381。
在 CVE-2024-20350 的情况下,静态 SSH 主机密钥可能允许未经身份验证的远程攻击者发起中间人攻击并拦截 SSH 客户端和 Catalyst Center 设备之间的流量,并冒充易受攻击的设备来注入命令并窃取用户凭据。
至于 CVE-2024-20381,JSON-RPC API 上的不当授权检查可能允许远程经过身份验证的攻击者发送恶意请求并创建新帐户或提升其在受影响的应用程序或设备上的权限。
思科还警告称,CVE-2024-20381 会影响多种产品,包括已停产且不会收到补丁的 RV340 双 WAN 千兆 VPN 路由器。尽管该公司尚未发现该漏洞被利用,但建议用户迁移到受支持的产品。
该科技巨头还发布了针对 Catalyst SD-WAN Manager、IOS XE 的统一威胁防御 (UTD) Snort 入侵防御系统 (IPS) 引擎以及 SD-WAN vEdge 软件中中等严重程度漏洞的补丁。
建议用户尽快应用可用的安全更新。更多信息可在思科的安全公告页面上找到。https://sec.cloudapps.cisco.com/security/center/publicationListing.x
原文始发于微信公众号(祺印说信安):高危漏洞:思科修补 IOS 软件中的高危漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论