思科系统公司本周发布的补丁在其IOS软件中的许多漏洞对网络设备和思科的WebEx和会议服务器。
最严重的安全漏洞影响到思科网络融合系统(NCS)6000个系列路由器的Cisco IOS XR软件。它可以导致拒绝服务条件,让受影响的设备在工作的状态。
未经验证,远程攻击者可以利用漏洞通过发起号码管理连接到通过安全外壳(SSH)的受影响的设备,安全复制协议(SCP)或安全FTP(SFTP)。
因为它可以影响设备的关键部分的可用性,如路由器,思科额定此漏洞高严重性。有没有解决办法,并建议客户安装新发布的补丁。
另一个缺陷固定在Cisco IOS XR软件可能允许攻击者在操作系统以root权限执行任意命令。此漏洞影响IOS XR软件版本6.0.1.BASE并被评为中等严重程度,因为攻击者需要被认证为本地用户。
拒绝服务漏洞也被固定在Cisco IOS软件。它可以用来通过发送特制的链路层发现协议(LLDP)报文,他们运行的软件的受影响版本崩溃设备。开发不需要身份验证,但是要求攻击者必须在一个位置发送LLDP数据包。
这是在3G和LTE网络中使用的Cisco ASR 5000系列运营商级平台的固件,收到了更新,修复不安全的SNMP(简单网络管理协议)的实现。弱点将允许攻击者读取和修改设备配置。
思科的会议服务器也是本周的补丁发布的重点。其中一个漏洞在思科会议服务器,以前Acano会议服务器的HTTP接口,能允许攻击者发动针对该接口的用户持续的跨站点脚本(XSS)攻击。
攻击者可以通过诱使用户点击恶意制作的链接利用此漏洞,然后可以在Cisco会议服务器接口的上下文中执行恶意JavaScript代码在浏览器中。这可以被用来窃取身份验证Cookie或迫使其执行未经授权的操作。
两个XSS漏洞也被固定在Cisco WebEx会议服务器2.6版,一个在其管理界面和一个在用户界面。双方可以通过诱使用户访问特制的链接,并可能导致进一步的攻击所利用。