思科小型企业220系列智能交换机远程执行代码漏洞 安全响应中心

admin 2019-8-11 217

摘要

思科精睿(Cisco Small Business)220系列智能交换机的Web管理界面中的多个漏洞可能允许未经身份验证的远程攻击者溢出缓冲区,然后允许在底层操作系统上以root权限执行任意代码。

这些漏洞是由于在将数据读入内部缓冲区时对用户提供的输入的验证不充分以及不正确的边界检查。攻击者可以通过向受影响设备的Web管理界面发送恶意请求来利用这些漏洞。根据受影响的交换机的配置,必须通过HTTP或HTTPS发送恶意请求。

思科发布了解决此漏洞的软件更新。没有解决此漏洞的变通方法。

可通过以下链接获取此通报:https:

//tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce

受影响的产品

弱势产品

此漏洞影响运行1.1.4.4之前的固件版本且启用了Web管理界面的Cisco Small Business 220系列智能交换机。默认情况下,Web管理界面通过HTTP和HTTPS启用。

确定是否启用Web管理界面

要确定是通过HTTP还是HTTPS启用Web管理界面,管理员可以在设备CLI上使用show running-config命令。如果配置中存在以下两行,则禁用Web管理界面,并且设备不易受攻击:

没有ip http服务器

没有ip http安全服务器

任何其他输出表示设备上已启用Web管理界面。

在Web管理界面中,HTTP服务和HTTPS服务在“ 安全”>“TCP / UDP服务”下配置。

确认的产品不易受攻击

仅知道此通报的“ 漏洞产品”部分中列出的产品会受此漏洞的影响。

解决方法

没有解决此漏洞的变通方法。

固定软件

思科发布了免费软件更新,解决了此通报中描述的漏洞。客户只能安装并期望支持他们购买许可证的软件版本和功能集。通过安装,下载,访问或以其他方式使用此类软件升级,客户同意遵守思科软件许可的条款:https: 

//www.cisco.com/c/en/us/products/end-user-license- agreement.html

此外,客户只能下载他们拥有有效许可证的软件,直接从思科采购,或通过思科授权经销商或合作伙伴购买。在大多数情况下,这将是以前购买的软件的维护升级。免费安全软件更新不授予客户新软件许可证,其他软件功能集或主要版本升级的权利。

在考虑软件升级时,建议客户定期查阅思科安全建议和警报页面上提供的思科产品咨询,以确定风险和完整的升级解决方案。

在所有情况下,客户应确保要升级的设备包含足够的内存,并确认新版本将继续正确支持当前的硬件和软件配置。如果信息不明确,建议客户联系思科技术支持中心(TAC)或其签约维护提供商。

没有服务合同的客户

直接从思科购买但未持有思科服务合同的客户以及通过第三方供应商购买但未通过销售点获取固定软件的客户应通过联系思科TAC获得升级:

https:// www .cisco.com / C / EN / US /支持/网络/ TSD-思科全球-contacts.html

客户应该拥有可用的产品序列号,并准备提供此通报的URL作为免费升级权利的证据。

固定版本

思科在Cisco 220系列智能交换机固件版本1.1.4.4及更高版本中修复了此漏洞。

剥削和公告

思科产品安全事件响应小组(PSIRT)不知道此通报中描述的任何公告或恶意使用此漏洞。

资源

思科感谢安全研究员bashis通过VDOO披露计划报告此漏洞。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:CVE-2019-0193:Apache Solr 远程命令执行漏洞预警
下一篇:VideoLAN VLC双重免费拒绝服务漏洞
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回