思科产品多个高危漏洞安全通告
发布时间 2018-09-29漏洞编号和级别
14个高危漏洞,详见下面列表
影响版本
思科的IOS和IOS XE软件产品中的组件
Catalyst 6800系列交换机ROM监视器和Webex会议客户端
漏洞概述
思科本周二发布了其部分产品的25个漏洞安全警报;其中14个高危漏洞。大多数安全问题在于,思科的IOS和IOS XE软件产品中的组件会引发拒绝服务问题。除此之外,还有另外两个产品也受影响,Catalyst 6800系列交换机ROM监视器和Webex会议客户端。漏洞警报说明漏洞可能被利用导致内存泄漏、命令注入、权限提升、身份验证绕过、任意代码执行。某些漏洞的严重性级别很高,因为它们可以被攻击者远程利用,而无需进行身份验证。黑客如果想通过远程攻击,IOS XE软件Web界面的其中有一个漏洞。它们可以通过简单地向其Web UI发送特制的HTTP请求来重新加载,重启远程设备。该报告显示,其中许多问题是由于错误的输入验证或数据包处理造成的。
高危漏洞列表:
|
漏洞名称 |
级别 |
CVE编号 |
|
Cisco IOS和IOS XE软件OSPFv3拒绝服务漏洞 |
高 |
CVE-2018-0466 |
|
Cisco IOS XE软件和Cisco ASA 5500-X系列自适应安全设备IPsec拒绝服务漏洞 |
高 |
CVE-2018-0472 |
|
Cisco IOS XE软件Web UI拒绝服务漏洞 |
高 |
CVE-2018-0469 |
|
Cisco IOS XE软件HTTP拒绝服务漏洞 |
高 |
CVE-2018-0470 |
|
Cisco IOS和IOS XE软件SM-1T3 / E3服务模块拒绝服务漏洞 |
高 |
CVE-2018-0485 |
|
Cisco IOS XE软件NAT会话启动协议应用层网关拒绝服务漏洞 |
高 |
CVE-2018-0476 |
|
Cisco IOS软件精确时间协议拒绝服务漏洞 |
高 |
CVE-2018-0473 |
|
Cisco IOS和IOS XE软件IPv6逐跳选项拒绝服务漏洞 |
高 |
CVE-2018-0467 |
|
Cisco IOS XE软件命令注入漏洞 |
高 |
CVE-2018-0477 |
|
Cisco IOS XE软件命令注入漏洞 |
高 |
CVE-2018-0481 |
|
Cisco IOS XE软件Errdisable拒绝服务漏洞 |
高 |
CVE-2018-0480 |
|
Cisco IOS和IOS XE软件群集管理协议拒绝服务漏洞 |
高 |
CVE-2018-0475 |
|
Cisco IOS XE软件思科发现协议内存泄漏漏洞 |
高 |
CVE-2018-0471 |
|
适用于Windows权限提升漏洞的Cisco Webex会议客户端 |
高 |
CVE-2018-0422 |
漏洞验证
暂无POC\EXP
修复建议
厂商已经提供补丁下载:
https://tools.cisco.com/security/center/publicationListing.x
参考链接
https://www.bleepingcomputer.com/news/security/cisco-releases-alerts-for-14-high-severity-bugs/
京公网安备11010802024551号