思科系统公司发布的软件更新其思科以修补三个漏洞,可以给远程攻击者平台的管理权限,并允许他们擅自执行OS级的命令安全访问控制系统(ACS)。
思科ACS是服务器设备强制执行访问控制策略的无线和有线网络客户端。它通过一个基于Web的用户界面管理,支持RADIUS(远程访问拨入用户服务)和TACACS +(终端访问控制器访问控制系统加)协议。
+同时在网络世界:最佳CES 2014年 - 在图片+
思科的安全版本软件ACS年龄超过5.5包含两个漏洞,这些会用来针对不同的ACS部署和监听之间的通信的TCP端口2020和2030的RMI(远程方法调用)接口。
其中一个漏洞,确定为CVE-2014-0648的,由认证不足和授权执法茎和允许远程非授权用户通过RMI接口进行系统管理操作。
其它漏洞,鉴定为CVE-2014-0649,允许远程攻击者能够访问受限制的用户帐户升级他们的特权,并且经由RMI接口执行超级管理员功能。
第三个漏洞,追踪为CVE-2014-0650,在系统的基于Web的界面被发现,并输入验证不足的结果。验证的远程攻击者可以利用此漏洞注入和无壳访问执行OS级命令,思科在所述安全咨询。此漏洞影响的Cisco Secure ACS软件早于5.4补丁3。
有建议可以减轻这些漏洞,所以更新软件由思科发布了新的版本,没有配置的解决方法。
“思科产品安全事件响应小组(PSIRT)不知道任何公示或恶意使用此通报中描述的漏洞的,”该公司表示。