思科公司修补了其统一计算系统(UCS)性能管理软件中的一个关键漏洞,该漏洞可以让经过认证的远程攻击者执行命令。
+更多关于网络世界足球竞猜app软件:快速浏览:思科Tetration Analytics+
思科UCS性能管理器版本2.0.0和之前受到影响,问题是在思科UCS性能管理器2.0.1和以后解决。UCS性能管理器收集有关UCS服务器,网络,存储和虚拟机的信息。
根据思科的说法,该漏洞是由于对通过HTTP GET请求传递的参数执行的输入验证不足。攻击者可以通过向受影响的系统发送精心设计的HTTP GET请求来利用这个漏洞。漏洞可能允许攻击者使用根用户的特权执行任意命令。
+更多关于网络世界足球竞猜app软件:什么是思科直播的热点!+
思科发布了软件更新解决了这个漏洞。该公司表示,无法提供解决该漏洞的变通方案
该补丁紧随思科最近提供的一系列安全补丁之后。本月早些时候,该公司发布了针对网络设备、思科(Cisco)和WebEx会议服务器的IOS软件漏洞的补丁。
据一位IDG新闻报道,最严重的漏洞影响思科IOS XR软件的思科网络汇聚系统(NCS) 6000系列路由器。它可能导致拒绝服务条件,使受影响的设备处于非操作状态。
未经身份验证的远程攻击者可以通过安全Shell (SSH)、安全复制协议(SCP)或安全FTP (SFTP)启动到受影响设备的大量管理连接,从而利用该漏洞。因为它可能会影响关键设备的可用性,比如路由器,所以思科将该漏洞列为高度严重级别。没有解决方案,建议客户安装新发布的补丁。
思科IOS XR软件修复的另一个缺陷是,攻击者可以利用root权限对操作系统执行任意命令。该漏洞影响IOS XR软件6.0.1版本。由于攻击者需要作为本地用户进行身份验证,因此被评为中等严重程度。
思科IOS软件也修复了一个拒绝服务漏洞。通过向运行受影响版本的软件的设备发送特制的链接层发现协议(LLDP)包,它可以使设备崩溃。利用不需要身份验证,但要求攻击者处于发送LLDP包的位置。
根据IDG的报告,思科的会议服务器也被打了补丁。Cisco会议服务器(前身是Acano会议服务器)的HTTP接口有一个漏洞,可能允许攻击者对接口的用户发起持久的跨站点脚本攻击(XSS)。攻击者可以利用这个漏洞,诱使用户点击恶意制作的链接,然后在他们的浏览器中通过Cisco会议服务器界面执行恶意的JavaScript代码。这可以用来窃取身份验证cookie或迫使他们执行未经授权的操作。
本文使用了来自IDG新闻服务的信息。