当前位置:首页 > Safe 2017年06月26日
思科修复三款产品中的三个高危漏洞

思科上周修复了三款产品中的三个漏洞。如这些漏洞被利用,会导致出现拒绝服务、崩溃甚至是任意和远程代码执行问题。

思科在上周三发布的安全公告中指出,思科修复的这三个漏洞均被思科标记为“高危”。其中一个问题是XXE漏洞,存在于思科Prime Infrastructure软件产品1.13.1.6版本中。该漏洞依赖管理员导入一个恶意XML文件。在基于web的用户界面中这么做会导致未经验证的远程攻击者获取对存储在易受攻击系统中数据的读取和写入权限,或者执行远程代码。

思科强调称攻击者必须要有有效的用户凭证才能实施该攻击,尽管如此,斯可还是督促运行该软件的用户打补丁。

第二个漏洞影响思科的WebEx网络记录播放器,在一些设置中它被用于回访WebEx会议记录。虽然该漏洞无法在WebEx实时会议中触发,但攻击者如能诱骗用户打开一个恶意ARF文件就能触发该app中的多个缓冲溢出漏洞。ARF文件专用于回访并编辑WebEx记录文件。思科告警称攻击者能将恶意ARF文件通过邮件或URL发送给受害者并说服他们打开文件,而这样就会导致播放器崩溃甚至在一些情况下会引发系统任意代码执行。

最后一个问题出现在思科的VPC-DI软件中。VPCStarOS即思科虚拟化软件架构的产品化版本。由于对用户提供的数据处理不充分,攻击者能将恶意USP数据包发送给受影响系统,从而引发未经处理的出错条件,从而引发控制功能实例进而导致整个VPC重新加载,导致所有用户终端以及在受影响系统上引发DoS条件。

思科表示该漏洞仅可通过IPv4流量被利用,且只有某些StarOS操作系统的版本受影响。

这些漏洞是思科在上周三告警的25个问题中的3个。思科还告警了多种产品中存在跨站脚本漏洞、会话劫持和信息披露漏洞问题。



发表评论: