思科發(fā)布統(tǒng)一通信管理器等產(chǎn)品漏洞補(bǔ)丁
思科公司發(fā)布了大規(guī)模的安全性公告,詳細(xì)介紹了其主要軟件和統(tǒng)一通信產(chǎn)品的10個(gè)獨(dú)立安全漏洞。
思科公司網(wǎng)站的安全咨詢板塊對(duì)漏洞的具體情況做了詳細(xì)介紹,涉及到思科IOS操作系統(tǒng)IP服務(wù)登記協(xié)議的拒絕服務(wù)攻擊(DOS)漏洞。思科宣稱(chēng),當(dāng)設(shè)備接收到被篡改的UDP數(shù)據(jù)包時(shí),漏洞就會(huì)被觸發(fā)。
另一個(gè)漏洞來(lái)自于思科10000系列路由器,通過(guò)發(fā)送一系列的ICMP報(bào)文,攻擊者可以使設(shè)備重載。思科對(duì)此發(fā)布了軟件更新補(bǔ)丁,并在安全公告中介紹了如何保護(hù)路由器。
思科Catalyst交換機(jī)也未能幸免。漏洞出現(xiàn)在思科IOS軟件的智能安裝功能上。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可能在受漏洞影響的設(shè)備上執(zhí)行遠(yuǎn)程代碼。思科已再次發(fā)布針對(duì)該問(wèn)題的免費(fèi)軟件。
此外,思科統(tǒng)一通信管理器有一個(gè)可由非法SIP消息觸發(fā)的內(nèi)存泄露漏洞。思科將為統(tǒng)一通信管理器發(fā)布免費(fèi)軟件更新,同時(shí),官方網(wǎng)站中也提供了解決方法。
思科IOS軟件的數(shù)據(jù)鏈路交換功能中也發(fā)現(xiàn)一些漏洞。在IOS的NAT功能(網(wǎng)絡(luò)地址轉(zhuǎn)換)中存在多個(gè)針對(duì)網(wǎng)絡(luò)會(huì)議目錄、SIP、H.323以及IPv6協(xié)議棧的拒絕服務(wù)攻擊(DoS)漏洞。
而且,思科IOS及IOS XE軟件的SIP協(xié)議實(shí)現(xiàn)中也存在DoS漏洞。軟件更新將解決這些漏洞。同時(shí),如果必須運(yùn)行SIP的設(shè)備沒(méi)有合適解決方法,思科公司建議采取一些緩解措施可以防止漏洞在攻擊者前暴露。
思科最后提到的漏洞涉及Jabber可擴(kuò)展通信平臺(tái)和思科統(tǒng)一在線狀態(tài)監(jiān)測(cè)產(chǎn)品。這些產(chǎn)品同樣也存在一個(gè)DoS漏洞,未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以通過(guò)漏洞向受影響的服務(wù)器發(fā)送惡意XML。思科表示,這一漏洞暫時(shí)還沒(méi)有解決方法。
【編輯推薦】