[[121808]]

再不修復，遠程登錄機制就要消亡了。

如今已經(jīng)困擾了思科設備長達三年之久的高危遠程代碼執(zhí)行漏洞終于得到了修復。

研究人員Glafkos Charalambous所發(fā)現(xiàn)的遠程登錄安全漏洞(CVE-2011-4862)最初于2011年被FreeBSD項目所曝光。然而直到今年10月15號之前，該漏洞在思科公司的各設備上始終未能得到修復。

作為國際商學院IT經(jīng)理，Charalambous在思科全部Web、電子郵件以及內(nèi)容安全管理方案版本內(nèi)的AsyncOS軟件中都發(fā)現(xiàn)了這項漏洞。

思科還向客戶發(fā)出警告，稱如果需要在這些設備上啟用遠程登錄功能，則意味著允許執(zhí)行任意代碼。

“潛藏在思科AsyncOS遠程登錄代碼中的安全漏洞會允許非經(jīng)授權(quán)的遠程攻擊者在受感染系統(tǒng)上執(zhí)行任意代碼，”思科公司在一份經(jīng)過修訂的建議資料中寫道。

“該安全漏洞是由處理遠程登錄加密密鑰時的邊界檢查欠缺所導致。”

“未經(jīng)驗證的遠程攻擊者能夠通過向目標系統(tǒng)發(fā)送惡意請求利用這項安全漏洞，進而利用高權(quán)限在系統(tǒng)上執(zhí)行任意代碼。”

考慮到其易于利用的特性以及極高的危害與影響能力，這一安全漏洞被評為10分最高等級。

思科公司曾于2012年在IronPort系統(tǒng)的相關信息中描述過該安全漏洞可能造成的影響，現(xiàn)在則已經(jīng)為那些無法快速安裝補丁的用戶提供了詳盡的備用應對方法。