思科在多个产品中修补了可远程利用的高风险安全漏洞
思科在多种产品中修补了15个高风险和中等风险的安全问题,允许攻击者引发拒绝服务条件,重启设备,查看敏感信息以及获取易受攻击系统上的机密信息。
思科今天修复的其他漏洞允许参与者通过设备的基于Web的管理界面进行跨站点脚本(XSS)和跨站点请求伪造(CSRF)攻击。
在15个修补的安全漏洞中,有5个是拒绝服务(DoS)漏洞(即CVE-2018-0443,CVE-2018-0456,CVE-2018-0378,CVE-2018-0395,CVE-2018- 0441),所有这些都被归类为高风险问题。
目前,思科没有针对DoS漏洞进行修补的解决方法,但它们都可以使用供应商今天发布的免费软件更新进行修补。
此外,思科的产品安全事件响应小组(PSIRT)表示,他们“不知道此通报中描述的任何公告或恶意使用此漏洞。”
在15个修补的漏洞中,有5个是高风险的拒绝服务安全问题
思科今天修复的另外两个高风险安全问题(CVE-2018-0417和CVE-2018-0443)可能会在成功利用易受攻击的设备后导致权限升级和信息泄露。
此外,修补的中等风险问题可能导致大量安全问题,从目录遍历和信息泄露到跨站点脚本(XSS),权限提升,跨站点请求伪造(CSRF)和拒绝服务。
就像固定的高风险漏洞一样,思科的PSIRT没有发现任何漏洞。
15个修补的安全问题影响以下软件产品的各种模块和功能:思科无线局域网控制器软件,思科NX-OS软件,思科IOS接入点(AP)软件,思科SocialMiner,思科企业NFV基础设施软件,思科Prime Collaboration Assurance和Cisco Aironet 1560,1800,2800和3800系列接入点(AP)软件。