思科又发紧急安全通告 IOS集群管理协议漏洞和Struts2漏洞 有影响产品列表及应对措施了

简介:

思科今天更新了两个“紧急”的安全通告,一个针对 Cisco互联网操作系统(IOS) 和Cisco IOS XE Software,另一个针对问题不断的 Apache Struts2 ,确认了两个漏洞对于思科产品的影响列表(密密麻麻数不清,大家点文末的官方文档,自己看吧),并给出了临时应对措施。在此之前,绿盟科技 曾就前一个漏洞 CVE-2017-3881 作出应对措施的整理 

思科集群管理协议漏洞CVE-2017-3881

思科表示, IOS漏洞存在于Cisco IOS和Cisco IOS XE Software的负责代码处理的思科集群管理协议(CMP)中,未经验证的远程攻击者可利用该漏洞使受影响的设备重载或提升权限远程执行代码 

该漏洞或波及广泛的交换机和软件,从Cisco Catalyst 2350-48TD-S交换机到Cisco SM-X Layer 2/3 EtherSwitch服务模块。思科说道,

“集群管理协议利用Telnet作为集群成员之间的内部信令和指令协议。该漏洞由以下两种因素导致:未能将CMP特定的Telnet的选项仅限于集群成员之间的本地通信中,而是对受影响设备的Telnet连接的这些选项进行接受和处理,未能正确处理不正常的CMP特定选项。”

通告中还提到,

“攻击者可利用该漏洞,在与受影响思科设备建立Telnet会话(若该设备接受Telnet连接)时发送畸形的CMP特定Telnet选项。成功利用漏洞后,攻击者可执行任意代码,完全控制或重载设备。”

思科表示会发布软件修复此漏洞,但目前尚无修复方案。

应对措施见文末下载

思科Apache Struts2漏洞CVE-2017-5638

关于另一个紧急警告 ,思科表示, Apache于2017年3月6日在Apache Struts2的Jakarta Multipart解析器中发现了漏洞 ,攻击者可利用该漏洞,通过使用特制的“ Content-Type ” 、 “ Content-Disposition ” 或 “ Content-Length ” 值在目标系统上远程执行命令。

思科说目前正在对产品线进行调查,弄清该漏洞会波及哪些设备,产生怎样的影响。思科表示,受影响的设备包括Cisco SocialMiner、身份服务引擎(ISE)、Prime许可管理器等。

应对措施见文末下载

3月思科在Apache问题上问题频发

自3月以来,思科已针对Apache问题发布了一系列警告。

3月16日,思科的安全团队将Apache Struts中的另一漏洞评为“紧急”,并公布了受影响的设备,包括思科统一通信管理器IM和在线状态服务、思科统一通信管理器会话管理版、以及思科统一通信管理器。思科表示,已发布了补丁,修复所有受影响设备中的问题。

两个漏洞的应对措施下载

思科集群管理协议漏洞CVE-2017-3881 ,点击图片下载

CVE-2017-3881.png

思科Apache Struts2漏洞CVE-2017-5638 ,点击图片下载

CVE-2017-5638.png


原文发布时间:2017年4月17日

本文由:csoonline发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/cisco-vulnerabilities-cve-2017-3881-cve-2017-5638

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
5月前
|
存储 运维 安全
iOS加固原理与常见措施:保护移动应用程序安全的利器
iOS加固原理与常见措施:保护移动应用程序安全的利器
74 0
|
5月前
|
安全 前端开发 iOS开发
钉钉里微应用ios 底部安全区域的颜色怎么修改?
钉钉里微应用ios 底部安全区域的颜色怎么修改?
178 5
|
5月前
|
存储 运维 安全
iOS加固原理与常见措施:保护移动应用程序安全的利器
iOS加固原理与常见措施:保护移动应用程序安全的利器
127 0
|
11月前
|
JSON 小程序 Android开发
小程序列表左滑效果在IOS呈上下滑动影响样式
小程序列表左滑效果在IOS呈上下滑动影响样式
119 0
|
2月前
|
API 开发工具 Android开发
视觉智能开放平台产品使用合集之人脸活体检测能力是否支持Android端或者iOS端直接调用
视觉智能开放平台是指提供一系列基于视觉识别技术的API和服务的平台,这些服务通常包括图像识别、人脸识别、物体检测、文字识别、场景理解等。企业或开发者可以通过调用这些API,快速将视觉智能功能集成到自己的应用或服务中,而无需从零开始研发相关算法和技术。以下是一些常见的视觉智能开放平台产品及其应用场景的概览。
|
2月前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享安卓与iOS开发中的线程管理比较
【8月更文挑战第30天】本文将探讨网络安全与信息安全的重要性,并分享关于网络安全漏洞、加密技术和安全意识的知识。我们将了解常见的网络攻击类型和防御策略,以及如何通过加密技术和提高安全意识来保护个人和组织的信息安全。
|
2月前
|
运维 网络安全 iOS开发
厉害!外国网络工程师用Ansible给思科IOS设备升级!
厉害!外国网络工程师用Ansible给思科IOS设备升级!
|
5月前
|
iOS开发 开发者 UED
利用SwiftUI构建动态列表:iOS开发的新范式
【4月更文挑战第22天】在本文中,我们将深入探讨如何使用SwiftUI来创建动态列表。SwiftUI是苹果最新推出的用户界面工具集,它允许开发者以声明式的方式描述用户界面,从而简化了代码的复杂性。我们将通过具体的代码实例,展示如何利用SwiftUI的List和ForEach视图来创建动态列表,并讨论其在实际开发中的应用。
62 2
|
11月前
|
运维 安全 数据安全/隐私保护
iOS加固原理与常见措施:保护移动应用程序安全的利器
随着移动应用的普及和用户对数据安全的关注度提高,iOS加固成为了很多开发者和企业的必备工具。那么,iOS加固是如何保护应用程序的安全性的呢? iOS加固是指对OS应用程序进行一系列的安全措施,以提高其抗逆向工程、反编译和破解的能力。下面将介绍iOS加固的原理和常见的加固措施。
iOS加固原理与常见措施:保护移动应用程序安全的利器
|
iOS开发
iOS UIKit Dynamics Demo 学习地址列表
iOS UIKit Dynamics Demo 学习地址列表
46 0
下一篇
无影云桌面