行业资讯

立即注册 咨询客服

当前位置:首页 > 行业资讯> 思科发布关键硬编码密码错误,远程代码执行缺陷漏洞更新

思科发布关键硬编码密码错误,远程代码执行缺陷漏洞更新

发布时间:2018年03月09日 10:13:37    来源: A5互联

思科发布了一个影响其安全访问控制系统(ACS)和思科Prime协作供应(PCP)软件严重缺陷的漏洞更新。

在用于安装Cisco协作和TelePresence组件的PCP具有硬编码的密码错误,可能允许本地攻击者获得root权限并控制PCP设备。

使用硬编码密码,攻击者可以通过SSH以低权限用户身份登录PCP的Linux操作系统,然后从这里升级到root用户。

这就是为什么思科将该漏洞评为至关重要的原因,尽管它的通用漏洞评分系统(CVSS)基准评分只有5.9分(满分10分)。

思科在其公告中称,2016年11月发布的PCP版本11.6受到影响。管理员可以通过登录PCP界面,点击设置,然后点击关于检查版本号。

第二个严重漏洞影响思科的安全访问控制系统(ACS),并可能允许未经身份验证的远程攻击者使用root权限在设备上执行任意注释。

这个漏洞是由于受影响的软件对用户提供的内容进行了不安全的反序列化,攻击者可以通过发送精心设计的序列化Java对象来利用此漏洞。

在Cisco Secure ACS 5.8补丁9之前的所有版本都受到该缺陷的影响。 管理员可以使用ACS命令行界面找出设备正在运行的ACS版本或使用ACS Web界面,然后单击关于链接。

但思科指出,利用运行版本5.8 Patch 7或Patch 8的Secure ACS系统上的漏洞需要验证。

美国国土安全部的US-CERT还建议管理员审查影响思科网络安全设备(WSA)的FTP服务器的高严重性问题。 据思科称,未经身份验证的攻击者可能无法使用有效的用户名或密码登录受影响的设备。

总的来说,思科昨天发布了针对22个漏洞的修复程序,其余的是中等严重性问题。