Cisco Systems(思科系统公司)本周发布了新的一批安全补丁,针对对大量产品造成影响的漏洞,包括RV220W无线网安全防火墙上的一个关键漏洞。
RV220W漏洞源于发送到防火墙的基于Web的管理界面的HTTP请求输入验证不足。
这可能允许远程非授权用户在他们的文件头上发送带有SQL代码的HTTP请求,能够绕过目标设备的认证并给予攻击者管理权限。
Cisco已经修复了针对 RV220W设备的1.0.7.2固件版本上的漏洞。手动解决方法包括禁用远程管理功能或者限制在特定的IP地址。
公司也修复了在Cisco Wide Area Application Service (WAAS) (思科广域应用服务)的设备和模块,Cisco Small Business 500 Series(思科中小型企业500系列)交换机和SG300管理交换机中的高和中等严重程度的拒绝服务漏洞。在基于Web的Cisco Unity Connection管理界面上的跨站点脚本漏洞也得以修复。
最后,公司进口了12个漏洞的补丁,在Network Time Foundation(网络时间基金会)于一月十九号固定了Network Time Protocol daemon (ntpd)(网络时间协议守护)的情况下。这些漏洞可以被攻击者利用来改动设备上的时间或者使ntpd(网络时间协议守护进程)崩溃。
系统上有正确的时间对各种应用而言都是非常重要的,包括对安全性敏感的操作。
NTP的缺陷可能影响了Cisco的70余种产品,用于协作和社交媒体,网络安全,路由和交换,统一计算和通信,流媒体和转码,无线和托管服务的产品。
公司已经针对它们中的一些和一系列受影响产品以及随着发布更多修复程序有可能更新的可用修复程序发布了固件更新。
发表评论
您还未登录,请先登录。
登录