Cisco Security ManageR(CSM)是由美国思科公司开发的一款企业级管理应用,主要用于配置Cisco网络和安全设备上的防火墙、VPN及入侵保护服务。
在11月16日,思科公司发布了一项紧急安全更新,修复了CSM安全管理器中的一些严重漏洞,包括信息泄露和静态证书等问题。以下是漏洞的详细信息:
漏洞详情
1. CVE-2020-27130 CVSS评分:9.1 危急
此漏洞可能允许未经身份验证的远程攻击者访问敏感信息,从而导致信息泄露。该问题源于对受影响设备请求中目录遍历字符序列的验证不当。攻击者可通过向设备发送特制请求来利用此漏洞,成功利用后可能导致下载任意文件。
2. CVE-2020-27131 CVSS评分:8.1 高
CSM使用的Java反序列化功能存在多个漏洞,可能允许未经身份验证的远程攻击者在受影响设备上执行任意命令。这些漏洞是由于软件不安全地反序列化用户提供的内容而引起的。攻击者可利用特定侦听器向系统发送恶意序列化Java对象,成功后可在Windows目标主机上以NT AUTHORITY系统特权执行任意命令。
3. CVE-2020-27125 CVSS评分:7.4 高
该漏洞可能允许未经身份验证的远程攻击者访问受影响系统上的敏感信息,导致信息泄露。问题出在软件中的静态凭据未得到充分保护,攻击者可以通过查看源代码来利用此漏洞,成功后可查看静态凭据并进一步进行攻击。
受影响产品
上述漏洞影响Cisco Security ManageR 4.21及更早版本。
解决方案
对于CVE-2020-27130和CVE-2020-27125漏洞:
升级至Cisco Security ManageR 4.22版本可解决。
对于CVE-2020-27131漏洞:
思科计划在Cisco Security ManageR 4.23版本中修复。
以下是关于升级和修复的重要说明:
1. 支持购买许可证的软件版本和功能集,通过安装、下载、访问或以其他方式使用进行升级。
2. 从思科或其授权经销商购买、并持有有效许可证的软件可获得维护升级。
3. 直接从思科购买但未持有思科服务合同的客户,以及通过第三方供应商购买但未通过销售点获得修复软件的客户,需联系思科技术支持中心以获取升级。
4. 客户需提供可用的产品序列号,并准备提供上述安全通报的URL作为免费升级的凭证。
[[[IMG_1]]]
[[[IMG_2]]]
[[[IMG_3]]]
