• <code id="aw09e"><small id="aw09e"><track id="aw09e"></track></small></code>
  • <center id="aw09e"><em id="aw09e"></em></center>
    1. <code id="aw09e"><em id="aw09e"></em></code>
      <th id="aw09e"></th>
      <object id="aw09e"><option id="aw09e"><mark id="aw09e"></mark></option></object>

      1. <object id="aw09e"><nobr id="aw09e"></nobr></object><big id="aw09e"><em id="aw09e"></em></big>
        <code id="aw09e"></code>

      2. <pre id="aw09e"></pre>

        Cisco 多個嚴重漏洞通告

        時間:2020-11-20

        0x01 事件簡述

        2020年11月19日,360CERT監測發現Cisco官方發布了多個嚴重漏洞的風險通告,漏洞編號為CVE-2020-27130,CVE-2020-3531,CVE-2020-3586,CVE-2020-3470,事件等級:嚴重,事件評分:9.8。

        本次通告中共計4處嚴重漏洞,攻擊者可利用這些漏洞獲得任意文件、執行任意命令、控制相關設備行為

        對此,360CERT建議廣大用戶及時將Cisco相關組件升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。

        0x02 風險等級

        360CERT對該漏洞的評定結果如下

        評定方式

        等級

        威脅等級

        嚴重

        影響面

        一般

        360CERT評分

        9.8

        0x03 漏洞詳情

        CVE-2020-27130: 目錄穿越漏洞

        思科安全管理器中存在一處目錄穿越漏洞。該漏洞是由于設備對請求中目錄字符串的驗證不足而造成的。

        未授權的攻擊者通過向受影響的設備發送特制的請求包,可使攻擊者從受影響的設備下載任意文件。

        CVE-2020-3531: 驗證繞過漏洞

        Cisco IoT Field Network Director(FND)的REST API中存在一處驗證繞過漏洞。該漏洞是由于受影響的軟件無法正確驗證REST API訪問權限而造成的。

        未授權的攻擊者通過獲取跨站點請求偽造(CSRF)令牌并發送特制請求包,可訪問受影響系統的后端數據接口,并獲取敏感數據及設備操作權限。

        CVE-2020-3586: 命令注入漏洞

        思科DNA空間連接器Web管理頁面中存在一處命令注入漏洞。該漏洞是由于在Web的管理界面中對用戶輸入的驗證不足而造成的。

        未授權的遠程攻擊者通過向受影響的服務器發送特制的請求包,可造成任意命令執行。

        CVE-2020-3470: 代碼執行漏洞

        思科集成管理控制器(IMC)的API子系統中的存在多處遠程代碼執行漏洞。該漏洞是由于對用戶輸入內容驗證不足而造成的。

        未授權的攻擊者通過向受影響的系統發送特制的請求包,可以root權限(系統最高權限)執行任意代碼。

        0x04 影響版本

        –cisco:dna_space_connector: <2.3

        –cisco:imc: UCS S-Series/UCS C-Series/UCS E-Series/5000 Series ENCS/

        –cisco:iot_field_network_director: <4.6.1

        –cisco:security_manager: <=4.21

        0x05 修復建議

        通用修補建議

        通過 Cisco (思科)的許可證對相應的系統進行更新

        第三方采購用戶通過以下鏈接獲得相關支持

        Cisco 支持服務

        0x06 時間線

        2020-11-16Cisco發布目錄穿越漏洞

        2020-11-18Cisco發布命令/代碼執行漏洞

        2020-11-19360CERT發布通告

        0x07 參考鏈接

        Cisco官方通告

        0x08 特制報告下載鏈接

        一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT正式推出安全通告特制版報告,以便用戶做資料留存、傳閱研究與查詢驗證。 用戶可直接通過以下鏈接進行特制報告的下載。

        Cisco 多個嚴重漏洞通告

         

        本文由360CERT安全通告原創發布

        出處:https://www.anquanke.com/post/id/222973

        美国十次,欧美av,欧美情色,美国十次啦导航,美国十次啦超线导航_美国十次啦av导航