Cisco iOS 和 iOS XE 是思科公司广泛应用于路由器和交换机等网络设备的操作系统。
在3月31日,思科发布了安全更新,以修复 iOS 和 iOS XE 软件中的任意代码执行等重要漏洞。以下是漏洞的详细信息:
漏洞详情
1. CVE-2021-1375 CVSS评分: 6.7 严重程度:高
该漏洞存在于运行 Cisco iOS XE 软件的 Cisco Catalyst 3650、3850、9300 和 9300L 系列交换机的快速重新加载功能中,可能允许经过身份验证的本地攻击者在系统启动时执行未签名的代码。
此漏洞的产生是由于对在设备启动时传递给配置文件的参数的验证不当。攻击者可以通过篡改存储在设备上的配置文件来利用这一漏洞。成功利用后,攻击者可能在引导过程中执行未签名的代码,并绕过设备安全引导过程中的软件映像验证。
2. CVE-2021-1376 CVSS评分: 5.1 严重程度:中
该漏洞同样存在于 Cisco Catalyst 3650、3850、9300 和 9300L 系列交换机的快速重载功能中,可能允许经过身份验证的本地攻击者在受影响设备的基础操作系统上执行任意代码。
这一漏洞是由于在快速重新加载启动过程中,对用于管理启动配置文件的验证代码区域检查不当所致。攻击者需要具备设备 CLI 的特权访问权限才能利用此漏洞。成功利用可能使攻击者能够在基础操作系统上执行任意代码。
受影响产品
如果正在运行易受攻击的 Cisco iOS XE 软件版本,这些漏洞将影响 Cisco Catalyst 3650、3850、9300 和 9300L 系列交换机。
解决方案
思科已发布免费软件更新,以解决上述漏洞。为了帮助客户评估其在 Cisco iOS 和 iOS XE 软件中的漏洞风险,思科提供了 Cisco Software Checker 工具,可以识别受特定软件版本影响的所有安全公告以及可以修复这些漏洞的最早版本。具体修复细节可参考思科官网。
有关更多漏洞信息和升级,请访问:
https://Tools.cisco.com/security/center/content/CiscosecurityAdvisory/cisco-sa-FAst-ZqR6DD5
