思科已经发动了广泛的新一轮安全警告 - 他们三个“关键” - 主要是其IOS XE软件和工业路由器的家庭用户。
总体而言,思科发行23个安全公告描述在其IOS和IOS XE系统25次曝光。
除了三个重要公告,20有一个“高”影响的评价。思科称,一个安全漏洞影响思科IOS,IOS XE,IOS XR和NX-OS软件。五个漏洞影响思科IOS和IOS XE软件。6个漏洞影响Cisco IOS软件和10影响的Cisco IOS XE软件。三个漏洞影响Cisco IOx扩展应用环境。
许多的警告的是一个命令注入漏洞”,它可以让一个攻击者在受影响的操作系统执行的命令。
思科发布免费软件更新,修复,本周发行的严重警告。该公司还表示,用户可以使用思科软件检查搜索重要或高额定咨询。
关键的警告包括:
- 一个漏洞额定的在思科IOS XE软件的思科IOx扩展应用托管基础架构的授权控制通用安全漏洞评分系统9.8的10可以让一个未经身份验证的远程攻击者获得令牌的授权和上执行任何的IOx扩展API命令受影响的设备。该漏洞是由于授权令牌的请求不正确的处理。攻击者可以通过使用特制API调用来请求这样的令牌利用此漏洞。
- 多重弱点额定9.8在CVSS为思科809年和829年思科IOS软件工业集成服务路由器(工业)的isr和思科1000系列连接网格路由器(CGR1000)可以让一个未经身份验证的远程攻击者或一个经过验证的本地攻击者执行任意代码在一个受影响的系统或导致一个影响系统崩溃和重新加载。该漏洞是由于不正确的边界检查数据包的某些值,这些数据包的目的地是UDP端口9700的一个受影响的设备。攻击者可以利用此漏洞向受影响的设备发送恶意数据包。当数据包被处理时,可能会出现可利用的缓冲区溢出情况,Cisco说。
- 一个漏洞额定在8.8上在Cisco IOS软件的思科809和829个工业集成服务路由器(工业ISR)和Cisco 1000系列连接网格路由器(CGR1000)的-VM间信道的实施CVSS可以让一个攻击者在执行任意命令虚拟设备服务器的Linux外壳(VDS)的与根的特权的上下文。由于装置被设计上的管理程序的体系结构,即影响了虚拟机间的信道利用漏洞可能会导致一个完整的系统折衷。该漏洞是由于信令是注定给VDS分组的验证不足。一个攻击者可以通过发送恶意数据包到受影响的设备此漏洞,思科表示。