思科补丁阻止攻击者接管网真系统

在Cisco FirePOWER和自适应安全设备设备中也修补了缺陷

20151005思科总部标志
Stephen Lawson

思科系统修复了一个严重漏洞,该漏洞可能使攻击者可以接管网真系统,并修复了Cisco FirePOWER和自适应安全设备中的其他高严重性漏洞。

网真软件漏洞 源于XML应用程序编程接口(API)的不正确的身份验证机制。攻击者可以通过向XML API发送精心设计的HTTP请求来利用它,从而绕过身份验证并在系统上执行未经授权的配置更改和命令。

[最后补丁: 思科修补了电缆调制解调器和家庭网关中的严重缺陷 ]

网真编解码器(TC)和协作端点(CE)软件中存在此漏洞。受影响的设备包括:网真EX系列,网真集成器C系列,网真MX系列,网真配置文件系列,网真SX系列,网真SX快速设置系列,网真VX临床助手和网真VX战术。

无法立即安装软件更新的用户可以禁用XML API来缓解此漏洞,但是这样做将无法通过Cisco TelePresence管理套件(TMS)管理系统。

否则,严重程度很高 拒绝服务漏洞 已在Cisco FirePOWER系统软件中修补。通过利用此缺陷,攻击者可能导致受影响的系统停止检查和处理数据包。

受影响的产品包括:Cisco FirePOWER 7000系列设备,Cisco FirePOWER 8000系列设备,在Cisco FirePOWER 7000系列设备上运行的网络的思科高级恶意软件保护(AMP)和在Cisco FirePOWER 8000系列设备上运行的网络的思科高级恶意软件保护(AMP) 。

另一个拒绝服务缺陷 已在适用于自适应安全设备(ASA)5585-X FirePOWER安全服务处理器(SSP)模块的Firepower系统软件中进行了修补。通过利用该缺陷,攻击者可能导致Cisco FirePOWER模块停止检查流量或停止响应。

除了这些补丁程序,思科还在调查本周哪些产品受到OpenSSL库中补丁的六个漏洞的影响。公司将更新 其相应的咨询 当有更多有关受影响产品的信息或补丁可用时。

版权 © 2016 IDG通讯 ,Inc.