偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

思科修復(fù)網(wǎng)絡(luò)和通信產(chǎn)品中的嚴(yán)重安全漏洞

作者:鄒錚編譯
安全
思科公司近日發(fā)布了軟件安全更新來解決幾款關(guān)鍵產(chǎn)品中的DDoS和任意命令執(zhí)行漏洞,包括Apache Struts開發(fā)框架中的一個已知漏洞。

思科公司近日發(fā)布了軟件安全更新來解決幾款關(guān)鍵產(chǎn)品中的DDoS和任意命令執(zhí)行漏洞,包括Apache Struts開發(fā)框架中的一個已知漏洞。

該公司發(fā)布了新版本的思科IOS XR軟件來修復(fù)處理分片數(shù)據(jù)包的問題,攻擊者可能利用這個漏洞來在不同的思科CRS路由處理器卡上觸發(fā)拒絕服務(wù)攻擊。受影響的卡和修復(fù)的漏洞版本都列出在思科的公告中。

該公司還發(fā)布了思科身份服務(wù)引擎(ISE)的安全更新,該引擎是針對有線、無線和VPN連接的安全政策管理平臺。這個安全更新修復(fù)的漏洞可能被通過身份驗證的遠(yuǎn)程攻擊者利用來對底層操作系統(tǒng)執(zhí)行任意命令,其修復(fù)另外一個漏洞則允許攻擊者繞過身份驗證,并下載產(chǎn)品的配置或其他敏感信息,包括管理登錄憑證。

思科還發(fā)布了一個更新來修復(fù)已知的Apache Struts漏洞,這個漏洞涉及多款產(chǎn)品,包括ISE。Apache Struts是用來開發(fā)基于Java的web應(yīng)用程序的流行的開源框架。

這個漏洞(編號為CVE-2013-2251)位于Struts的DefaultActionMapper組件中,在7月份發(fā)布的Struts版本2.3.15.1中被Apache所修復(fù)。

這個新的思科更新將補(bǔ)丁修復(fù)被集成到Cisco Business Edition 3000、Cisco Identity Services Engine、Cisco Media Experience Engine (MXE) 3500系列和Cisco Unified SIP Proxy使用的Struts版本中。

“這個漏洞對思科產(chǎn)品的影響各有不同,主要取決于產(chǎn)品本身,”思科在其公告中稱,“如果攻擊者在思科ISE、思科Unified SIP Proxy和Cisco Business Edition 3000上成功的利用這些漏洞,他們將可以在受感染系統(tǒng)上執(zhí)行任意代碼。”

該公司表示,在思科ISE和Cisco Unified SIP Proxy上執(zhí)行攻擊并不需要任何身份驗證,但對Cisco Business Edition 3000執(zhí)行攻擊則需要攻擊者提供有效的登錄憑證或者誘使具有登錄憑證的用戶執(zhí)行惡意URL。

思科稱:“對思科MXE 3500系列的漏洞的成功利用將允許攻擊者重定向用戶到不同的可能的惡意網(wǎng)站,然而,在這種產(chǎn)品上不太可能執(zhí)行任意命令。”

來自趨勢科技的安全研究人員在8月份報道稱,某個國家的攻擊者正在通過利用幾個Apache Struts遠(yuǎn)程代碼執(zhí)行漏洞(包括CVE-2013-2251)的自動化工具來攻擊運(yùn)行Apache Struts應(yīng)用程序的服務(wù)器。

利用Struts漏洞的地下攻擊工具的存在提高了使用受感染思科產(chǎn)品的企業(yè)的風(fēng)險。

此外,在修復(fù)CVE-2013-2251后,Apache Struts開發(fā)人員進(jìn)一步強(qiáng)化了最近發(fā)布的DefaultActionMapper組件。

Struts版本2.3.15.2發(fā)布于9月份,該版本對DefaultActionMapper的“action:”前綴(用來附加導(dǎo)航信息到表格內(nèi)的按鈕來緩解攻擊者繞過安全限制的問題)進(jìn)行了一些修改。這個問題被標(biāo)記為CVE-2013-4310。

Struts版本2.3.15.3發(fā)布于10月17日,該版本在默認(rèn)情況下關(guān)閉了“action:”前綴,并且增加了兩項新的設(shè)置:"struts.mapper.action.prefix.enabled"和"struts.mapper.action.prefix.crossNamespaces",這兩個設(shè)置可以用來更好地控制DefaultActionMapper的行為。

Struts開發(fā)人員表示,強(qiáng)烈建議企業(yè)升級到Struts 2.3.15.3版本,但是開發(fā)人員并沒有透露關(guān)于CVE-2013-4310的更多詳細(xì)信息,要到該補(bǔ)丁廣泛部署后才會發(fā)布。

目前尚不清楚,思科什么時候?qū)谄洚a(chǎn)品修復(fù)CVE-2013-4310,鑒于這個修復(fù)似乎涉及禁用對“action:”前綴的支持,如果這些產(chǎn)品中的Struts應(yīng)用程序使用“action:”前綴,思科公司可能需要重新修改一些代碼。(鄒錚編譯)

責(zé)任編輯:藍(lán)雨淚 來源: 網(wǎng)界網(wǎng)
安全漏洞思科
相關(guān)推薦

2012-12-21 17:11:22

2009-02-09 09:35:20

2010-06-08 21:14:35

2009-03-08 09:52:49

Firefox瀏覽器漏洞

2016-08-10 20:26:13

2015-08-26 10:14:29

2011-08-30 16:11:03

2010-07-13 21:23:32

軟件安全安全漏洞

2024-07-16 14:03:56

2010-08-06 09:19:44

2014-11-04 10:23:14

2023-07-29 11:15:47

2021-07-16 08:32:49

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2023-12-31 09:06:08

2012-11-07 13:23:35

2014-04-09 10:27:29

2012-06-08 10:32:33

2012-04-28 14:00:06

2014-09-26 09:28:14

Bash漏洞Bash軟件安全漏洞

2014-11-26 09:27:57

Docker開源應(yīng)用容器引擎
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號