Cisco发布了安全公告,以应对发现于Cisco IOS及IOS XE软件中网页用户界面的多个漏洞,包括REST API核实输入数据的错误、DHCP relay子系统缓冲区满溢以及权限设定错误。未通过认证的远端攻击者可向受影响装置传送特制的API查询或DHCPv4封包来攻击上述提及的第一和第二个漏洞,而通过认证的远端攻击者可因权限设定错误的漏洞使用网页用户界面在受影响的系统中新增一名帐户。
成功利用这些漏洞可以导致绕过认证、执行任意程式码、系统重启、服务受阻断、权限提升或全面控制受影响的系统。
适用于受影响系统的修补程式已可获取。受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。有关修补程式的详细资料,请参阅供应商网站的相应安全公告中有关 “Fixed Software” 的部分。
用户可联络其产品支援供应商,以取得修补程式及有关支援。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-dhcp
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-privesc
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-restapi
https://www.us-cert.gov/ncas/current-activity/2017/09/27/Cisco-Releases-Security-Updates
https://www.hkcert.org/my_url/zh/alert/17092801
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12229
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12230
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12240