Cisco 修复云服务平台重大漏洞

简介: 前言近日,思科修复了云服务产品线上包括云服务平台(CSP),可扩展 Firepower 操作系统(FXOS),NX-OS软件以及一些小型企业 IP 电话上的高危漏洞。此次修复最严重的漏洞是 CVE-2017-12251,***者可不经过授权访问云平台2100。

前言


近日,思科修复了云服务产品线上包括云服务平台(CSP),可扩展 Firepower 操作系统(FXOS),NX-OS软件以及一些小型企业 IP 电话上的高危漏洞。


此次修复最严重的漏洞是 CVE-2017-12251,***者可不经过授权访问云平台2100。有很多机构都使用该平台搭建思科或第三方的虚拟服务。该漏洞存在于 Cisco 云服务平台(CSP)2100 的 Web console中,未授权的远程***者可以利用该漏洞与受影响 CSP 设备服务或虚拟机(VM)进行恶意交互。

security advisory 表示:

该漏洞利用了这一代 Web console 中 URL 的某些授权机制不完善。***者可以通过浏览 Cisco CSP 中托管的虚拟机的一个 URL 来查看 Web 应用授权控制的特定模式。***者可以利用该漏洞连接 CSP 上的 VM,这样整个系统就失去机密性,完整性和可用性了。

该漏洞会影响云服务平台 2100 的 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1 和 2.2.2版本,思科已经发布了新版本 2.2.3 来解决这个问题。

思科表示,在野暂时还没有发现类似的***。

security advisory 补充说道:

思科的安全事件响应小组(PSIRT)还没有完全意识到此次事件中漏洞利用的详细情况。

4a5f2512a113807858d7b7a984b9baaf.png-wh_


此次思科还通报了 DoS 的高危漏洞——CVE-2017-3883,可以影响 FXOS 和 NX-OS 软件的认证,授权,计费(AAA)过程。

***者可以利用该漏洞对配有 AAA 安全服务的设备进行强行登录***。

远程***者可以利用可扩展 Firepower 操作系统(FXOS)和NX-OS系统软件中的漏洞对受影响的设备重新加载。

该漏洞还会影响 Firepower ,Nexus,多层交换机和一些计算系统产品。

第一个 CVE-2017-12260 漏洞会影响思科 Small Business SPA50x, SPA51x 和 SPA52x 系列 IP 电话中的进程初始化协议(SIP),第二个漏洞 CVE-2017-12259只会影响 SPA51x 系列电话中的相关协议。

利用以上漏洞,未授权的***者可以发送特殊的 SIP 请求到目标设备,从而发动 DoS ***。

对于近期出现的KRACK vulnerability,很多思科产品也受到了影响,思科也已经发布了最新的安全更新,并着手调查这一事件。

*参考来源:securityaffairs ,FB小编 Liki 编译,转载请注明来自FreeBuf.COM


总结!开始走向漏洞之路......


目录
相关文章
|
6月前
|
SQL 安全 网络协议
网络安全产品之认识漏洞扫描设备
为了保障系统的安全性,需要及时发现和修复漏洞。这可以通过漏洞扫描设备等工具进行自动化检测和修复,同时也可以加强安全意识和培训,提高人员的安全防范能力。虽然无法完全避免漏洞的存在,但通过采取有效的措施可以大大减少漏洞的数量和危害程度,保障系统的安全性和稳定性。本文让我们一起来认识漏洞扫描设备。
213 0
|
Prometheus Kubernetes 安全
5 款漏洞扫描工具:实用、强力、全面(含开源)(一)
5 款漏洞扫描工具:实用、强力、全面(含开源)
3521 1
5 款漏洞扫描工具:实用、强力、全面(含开源)(一)
|
6月前
|
安全 数据安全/隐私保护 虚拟化
iOS应用加固方案解析:ipa加固安全技术全面评测
iOS应用加固方案解析:ipa加固安全技术全面评测
121 3
|
监控 安全 API
5 款漏洞扫描工具:实用、强力、全面(含开源)(二)
5 款漏洞扫描工具:实用、强力、全面(含开源)
1010 0
5 款漏洞扫描工具:实用、强力、全面(含开源)(二)
|
SQL 安全 Oracle
5 款漏洞扫描工具:实用、强力、全面(含开源)(三)
5 款漏洞扫描工具:实用、强力、全面(含开源)
1438 0
5 款漏洞扫描工具:实用、强力、全面(含开源)(三)
|
Web App开发 安全 Go
Cisco 修复云服务平台重大漏洞
前言 近日,思科修复了云服务产品线上包括云服务平台(CSP),可扩展 Firepower 操作系统(FXOS),NX-OS软件以及一些小型企业 IP 电话上的高危漏洞。 此次修复最严重的漏洞是 CVE-2017-12251,***者可不经过授权访问云平台2100。
941 0