思科修复数据中心交换机中的严重漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

思科发布补丁，修复产品中的数十个漏洞，其中包括影响 Nexus 9000 交换机中的一个严重缺陷。

该缺陷的编号为 CVE-2019-1804，CVSS 评分为9.8，存在于思科 Nexus 9000 序列应用中心基础设施模式交换机软件 (Cisco Nexus 9000 Series Application CentricInfrastructure Mode Switch Software) 的 SSH 密钥管理中。

所有设备中均存在一个默认的SSH 密钥对，攻击者可打开通过 IPv6 连接SSH 和目标设备，用该密钥对。攻击者能够以根用户权限访问系统。

思科表示，仅有运行思科 NX-OS 软件14.1版本之前的应用中心基础设施 (ACI) 模式的 Nexus 9000 系列光纤交换机易受攻击。

思科发布软件更新解决了这个漏洞问题，并表示并不存在缓解措施。思科还指出，并未发现漏洞遭公开用的情况。

本周，思科还发布补丁，修复了20多个高危漏洞，它们影响 Web Security Appliance (WSA)、Umbrella Dashboard、Adaptive Security Appliance (ASA) 和 Firepower Therat Defense (FTD) 软件、RV320 和 RV325 路由器、IP Phone 7800 和8800 系列、Application Policy Infrastructure Controller(APIC) 软件以及 Nexus 9000 交换机。

攻击者利用这些漏洞可提升权限、在受影响设备上引发拒绝服务、劫持会话、维护仪表盘访问权限、绕过证书认证、设置 VPN 会话或发现受影响设备的私钥。

另外，本周解决的十多个中危缺陷可被用于实施 XSS 和 CSRF 攻击、命令注入、目录遍历、过滤功能绕过、拒绝服务或访问敏感信息。

思科支持网站还发布了关于这些漏洞的其它详情和补丁情况。

原文链接

https://www.securityweek.com/cisco-patches-critical-vulnerability-data-center-switches

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。