思科今天的安全团队称为Apache的Struts的“关键”的弱点,并正在评估它的许多产品评估的影响。
该公司表示,将公布名单这里脆弱的产品因为学习他们。
本周早些时候透露的Apache中的Apache Struts2的使用雅加达多分析器漏洞,该漏洞可以让攻击者利用作为acrafted了所谓的有针对性的系统上远程执行命令内容类型标头值。
- 更多的网络世界足球竞猜app软件:思科的碧玉交易 - 一年18万台新的物联网设备后,挑战依然存在+
思科在写它警告:“该漏洞执行基于受影响软件的雅加达多解析器文件上传时,是由于处理的Content-Type头值不正确的。攻击者可以通过说服目标用户上传恶意文件利用此漏洞。一旦受影响应用程序的雅加达多解析器上传文件时,攻击者可能不得不执行任意代码的能力。任何变通办法,如果可用,将在思科的错误,这是访问通过Cisco Bug的搜索工具记录。思科已经发布了免费的软件更新地址的漏洞在这个通报中描述。客户只可以安装并期待软件版本以及他们已购买许可证的功能集的支持“。
星期四,在IDG新闻服务中写道在周一的Apache Struts开发人员固定的高冲击脆弱性在框架的雅加达多部分解析器。几个小时后,一个利用了出现在中国语言网站的漏洞,这几乎是紧跟着现实世界的攻击,根据思科的研究人员。
该漏洞很容易被利用并允许攻击者与运行Web服务器进程的用户的权限执行系统命令。如果Web服务器配置以root身份运行,该系统被完全破坏,但在执行的代码为较低特权用户也是一个严重的安全威胁,IDG写道。
更糟的是,Java Web应用程序甚至不需要通过雅加达多部分解析器来实现文件上传功能,以便存在漏洞。据研究人员科力斯,这个组件,默认情况下是Apache Struts框架的一部分的Web服务器上的简单的存在,就足以让开采,IDG写道。
思科表示,它正在评估多种产品,其中包括了Cisco Aironet 2700个系列接入点;移动服务引擎,无线局域网控制器和UCS 6200个系列互联。
正在评估其他产品包括:
- 思科ASR 5000系列
- 思科应用策略基础架构控制器(APIC)
- 思科宽带接入中心的电信和无线
- Cisco IOS XR软件
- 的Cisco MDS 9000系列多层交换机
- 思科的Nexus 1000V云间
- 思科的Nexus 1000V系列交换机
- 思科的Nexus 1000V交换机用于VMware vSphere
- 思科的Nexus 3000系列交换机
- 思科Nexus 5000系列交换机
- 思科的Nexus 6000系列交换机
- Cisco Nexus 7000系列交换机
- 思科的Nexus 9000系列光纤交换机
看看其他热点的故事:
思科加强了与电源管理功能HYPERFLEX hyperconvergence系统