首页 > 清静研究 > 清静转达 > 清静通告

思科多款产品严重误差清静通告

宣布时间 2018-07-20

误差编号
CVE-2018-0376
CVE-2018-0377
CVE-2018-0374
CVE-2018-0375

等25个误差，，，，，，，见下文列表。。。

误差级别
严重

厂商自评：9.8 CVSS分值：官方未评定

影响版本

Policy Suite、SD-WAN、WebEx 和 Nexus 产品

误差概述

7月18日，，，，，，，思科见告客户，，，，，，，它已在其Policy Suite, SD-WAN, WebEx 和Nexus产品中发明并修补了25个误差（4个critical，，，，，，，9个high，，，，，，，12个medium）。。。如下：

万利国际官网(中国游)有限公司

从 Policy Suite 中发明四个严重缺陷，，，，，，，其中两个清静误差是未认证会见权限问题，，，，，，，可导致远程攻击者会见 Policy Builder 界面和开放效劳网关建议 (OSGi) 接口。。。

CVE-2018-0376
一旦获得由于缺乏身份验证而袒露的Policy Builder interface的会见权限，，，，，，，攻击者就可以对现有存储库举行更改并建设新的存储库。。。
CVE-2018-0377
OSGi接口允许攻击者会见或更改OSGi历程可会见的任何文件。。。
CVE-2018-0374
缺乏认证机制还可导致 Policy Builder 数据库遭袒露，，，，，，，从而导致攻击者会见并更改存储在其中的任何数据。。。
CVE-2018-0375
Policy Suite中的Cluster Manager保存一个具有默认、静态凭证的root帐户。。。远程攻击者可以登录此帐户并使用root权限执行恣意下令。。。
思科还修复了 SD-WAN 解决计划中保存的七个误差。。。其中唯逐一个在无需认证的情形下能遭远程使用的误差影响 Touch Provision 效劳，，，，，，，它可导致攻击者引发 DoS 条件。。。
其它的 SD-WAN 清静误差要求举行认证，，，，，，，如遭使用，，，，，，，可覆写底层操作系统上的恣意文件并以 vmanage 或根权限执行恣意下令。。。其中的一个 SD-WAN 误差使用要求认证和外地会见权限。。。
思科还通知消耗者称其 Nexus 9000 系列的 Fabric 交流机，，，，，，，详细是 DHCPv6 功效，，，，，，，它受一个高危缺陷影响，，，，，，，可遭远程未经认证的攻击者用于引发 DoS 条件。。。

思科还将多个影响思科 Webex Network Recording Player for AdvancedRecording Format (ARF) 和 WebexRecording Format (WRF) 文件的误差评为高危误差。。。攻击者通过让目的用户使用受影响播放器翻开特殊结构的 ARF 或 WRF 文件就能执行恣意代码。。。

修复建议：

思科官方已经宣布新版本修复了上述误差，，，，，，，用户应实时升级举行防护。。。

参考链接：
https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=100#~Vulnerabilities
https://www.securityweek.com/cisco-finds-serious-flaws-policy-suite-sd-wan-products

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究

思科多款产品严重误差清静通告

关于万利国际官网

解决计划

清静研究

联系万利国际官网

7*24小时效劳热线