思科系统公司发布的软件的安全更新周三地址拒绝服务,并在几个产品,包括一些他们使用了Apache Struts开发框架的已知漏洞执行任意命令漏洞。
该公司发布的Cisco IOS XR软件的新版本解决的问题与处理,可以被利用来触发不同的思科CRS路由处理器卡的拒绝服务条件分段的数据包。为他们提供受影响的卡和修补软件版本中列出思科的安全公告。
该公司还发布的安全更新思科身份服务引擎(ISE),安全策略管理平台,为有线,无线和VPN连接。这些更新修复可以通过身份验证的远程攻击者利用底层操作系统和一个单独的漏洞,该漏洞可能允许攻击者绕过认证并下载产品的配置或其他敏感信息,包括管理凭据上执行任意命令的漏洞。
思科还发布了几个产品,包括ISE的修复已知的Apache Struts的漏洞更新。Apache的Struts是一个用于开发基于Java的Web应用程序的流行的开源框架。
的脆弱性,鉴定为CVE-2013年至2251年,位于Struts的DefaultActionMapper组分和是由Apache的Struts中的版本2.3.15.1补丁这是7月发布。
新的思科更新集成这个补丁将通过思科企业版3000,思科身份服务引擎,思科媒体体验引擎(MXE)3500系列和Cisco Unified SIP代理服务器使用Struts的版本。
“这个漏洞对思科产品的影响取决于受影响的产品,”思科表示,咨询。“思科ISE,思科统一SIP代理和Cisco商务版3000成功利用此漏洞可能导致受影响系统上执行任意命令。”
[前10名:最强大的网络管理公司]
不需要验证执行思科ISE和Cisco Unified SIP代理服务器的攻击,但是该缺陷的思科企业版3000成功利用此漏洞要求攻击者必须拥有有效的凭据或欺骗凭有效凭证的用户,到执行恶意的URL,该公司表示,。
“思科MXE 3500系列成功利用可能允许攻击者将用户重定向到一个不同的,可能恶意网站,但是执行任意命令是不可能在这个产品,”思科说。
从趋势科技安全研究人员发表在八月中国黑客在攻击运行Apache Struts应用程序服务器通过使用自动化的工具,利用几个Apache Struts的远程命令执行漏洞,包括CVE-2013至2251年。
在网络犯罪地下的攻击工具,利用Struts的安全漏洞的存在,增加了使用受影响的思科产品组织的风险。
此外,由于修补CVE-2013至2251年在Apache Struts开发人员进一步强化在最近发布的DefaultActionMapper组件。
Struts的版本2.3.15.2,这是9月发布,做了一些改动DefaultActionMapper“行动:”这是用来连接导航信息表单中的按钮,以减轻可能被利用来绕过安全限制的问题前缀。这个问题已经分配了CVE-2013-4310的标识符。
默认前缀,增加了两个新的设置名为“struts.mapper.action.prefix.enabled”和“struts.mapper.action.prefix:Struts的2.3.15.3,10月17日发布的,关闭的支持“行动”。可用于crossNamespaces”更好地控制DefaultActionMapper的行为。
Struts的开发商表示,升级到Struts的2.3.15.3强烈建议,但发布有关CVE-2013-4310的详细信息,直到补丁被广泛采用的阻碍。
它不明确的时候,或者如果思科将在其产品修补CVE-2013-4310,给人的修复似乎涉及禁止用于支持“行动:”前缀。如果在这些产品的Struts应用程序使用“动作:”前缀的公司可能需要返工他们的一些代码。