行业资讯团结互助，让我们共同进步！

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

思科修复了旗下多款产品的安全漏洞

文章来源：重庆网络安全围观次数：

分享到:

摘要：思科修复了Cisco Industrial Network Director（IND）软件的更新功能和Cisco Unified Presence（Cisco Unified CM IM＆P服务，Cisco VCS和Cisco Expressway系列）的身份验证服务中发现的两个高危漏洞。

思科修补了在思科工业网络总监(IND)软件更新特性和思科统一存在认证服务(思科统一CM IM&P服务、思科风投和思科高速公路系列)中发现的两个严重错误的输入验证漏洞。

Cisco IND是一种解决方案，旨在提供工业自动化网络的全面可见性和控制，详见其规范表，而Cisco Unified Presence是一个企业平台，用于在组织内部和跨组织之间交换状态和即时消息传递信息。

思科的安全顾问表示:“这个漏洞是由于上传到受影响应用程序的文件验证不当造成的。”

攻击者可以利用这个漏洞，使用管理员特权向受影响的系统进行身份验证，并上传任意文件。一个成功的攻击可以让攻击者执行具有更高特权的任意代码。”

虽然对于这个RCE漏洞，思科给出了7.2 CVSS 3.0的基本评分，没有解决办法，但该公司发布了软件更新，从思科IND 1.6.0开始解决这个漏洞。

思科统一存在拒绝服务漏洞

Cisco Unified Presence的认证服务受到CVSS 3.0 8.6评级的安全缺陷的影响，并被跟踪为CVE-2019-1845，这可能使未经认证的远程攻击者为试图在脆弱服务器上进行认证的用户创建服务中断，从而触发拒绝服务(DoS)条件。

正如思科安全咨询报告中所详细描述的，“该漏洞是由于对特定内存操作控制不足造成的。攻击者可以通过向受影响的系统发送一个格式错误的可扩展消息和状态协议(XMPP)身份验证请求来利用此漏洞。

成功的攻击可能会导致攻击者意外重启身份验证服务，从而阻止用户成功进行身份验证。利用此漏洞不会影响在攻击之前经过身份验证的用户。”

思科表示，如果运行一个易受攻击的版本，以下软件产品会受到DoS漏洞的影响:

高速公路系列配置为移动和远程访问与IM&P服务(版本X8.1到X12.5.2)

使用IM&P服务为移动和远程访问配置的TelePresence VCS(版本X8.1到X12.5.2)

统一通讯经理IM&P服务(多版本)

思科在X12.5.3及以后版本中为思科高速公路系列和思科网真风投修补了DoS漏洞，而对于思科统一通信管理器IM&P用户，应更新到下表中列出的版本之一:

思科IND远程代码执行漏洞
影响Cisco IND的远程代码执行(RCE)缺陷被跟踪为CVE-2019-1861，它允许潜在的经过身份验证的远程攻击者在运行脆弱软件的机器上执行任意代码。

本文由重庆网络安全整理发布,转载请保留出处，内容部分来自于互联网，如有侵权请联系我们删除。

重庆牛创网络科技有限责任公司是一群技术强大、思维活跃、拥有创新精神的年轻人创立，公司致力于为企业提供全面、周到、专业的互联网解决方案，提供网站建设、网络推广、网络安全审计、wifi营销认证、网站运营维护、域名注册、虚拟主机、企业邮局、企业形象设计等多种信息产品和服务。

公司电话： 023—68263070
办公地址：重庆市北碚区金华路399号
邮箱：120481297@qq.com
技术咨询：15215065006

行业安全认证