思科修复云效劳平台重大缝隙
本文摘要:思科修复云效劳平台重大缝隙近日,思科修复了云效劳产品线上包括云效劳平台(CSP),可扩展 Firepower 操作体系(FXOS),NX-OS软件以及一些小型企业 IP 德律风上的高危缝隙。 作者:liki 近日,思科修复了产品线上包括云效劳平台(CSP),可扩展 Firepower
思科修复云效劳平台重大缝隙 近日,思科修复了云效劳产品线上包括云效劳平台(CSP),可扩展 Firepower 操作体系(FXOS),NX-OS软件以及一些小型企业 IP 德律风上的高危缝隙。 作者:liki

近日,思科修复了产品线上包括云效劳平台(CSP),可扩展 Firepower 操作体系(FXOS),NX-OS软件以及一些小型企业 IP 德律风上的高危缝隙。

此次修复最严峻的缝隙是 CVE-2017-12251,攻击者可不通过授权拜访云渠道2100.

有很多组织都使用该渠道建立思科或第三方的虚拟效劳。

该缝隙存在于 Cisco 云效劳平台(CSP)2100 的 Web console中,未授权的长途攻击者可以使用该缝隙与受影响 CSP 设备效劳或虚拟机(VM)进行歹意交互。

security advisory表明:

该缝隙运用了这一代 Web console 中 URL 的某些授权机制不完善。攻击者可以通过阅读 Cisco CSP 中保管的虚拟机的一个 URL 来查看 Web 应用授权控制的特定形式。攻击者可以使用该缝隙连接 CSP 上的 VM,这样整个体系就失掉秘要性,完好性和可用性了。

该缝隙会影响云效劳平台 2100 的 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1 和 2.2.2版本,思科现已发布了新版本 2.2.3 来解决这个问题。

思科表明,在野暂时还没有发现类似的攻击。

security advisory 补充说道:

思科的安全事情响应小组(PSIRT)还没有完全认识到此次工作中缝隙运用的详细状况。

此次思科还通报了 DoS 的高危缝隙 CVE-2017-3883,可以影响 FXOS 和 NX-OS 软件的认证,授权,计费(AAA)过程。

攻击者可以使用该缝隙对配有 AAA 安全效劳的设备进行强行登录攻击。

长途攻击者可以使用可扩展 Firepower 操作体系(FXOS)和NX-OS体系软件中的缝隙对受影响的设备从头加载。

该缝隙还会影响 Firepower ,Nexus,多层交换机和一些核算体系产品。

第一个 CVE-2017-12260 缝隙会影响思科 Small Business SPA50x, SPA51x 和 SPA52x 系列 IP 德律风中的进程初始化协议(SIP),第二个缝隙 CVE-2017-12259只会影响 SPA51x 系列德律风中的相关协议。

使用以上缝隙,未授权的攻击者可以发送特殊的 SIP 请求到方针设备,从而发动 DoS 攻击。

关于近期呈现的KRACK vulnerability,很多思科产品也遭到了影响,思科也现已发布了最新的安全更新,并着手调查这一工作。


11:19:14 机房建设 人们需要了解影响数据中心效劳器的BlueKeep缝隙 职业专家正告说,现在使用BlueKeep缝隙的攻击仍在继续,全球各地至少有上百万台核算机可能遭到攻击。