Cisco ExpReSSway系列是美国思科(Cisco)公司开发的一款软件,旨在为防火墙外的用户提供安全、高效的访问功能,帮助远程办公人员在所选设备上更方便地工作。11月25日,思科公司发布了安全更新,以修复Cisco ExpReSSway中的信息泄露漏洞。以下是关于该漏洞的详细信息:
漏洞详情:
来源:
CVE-2020-3482 CVSS评分:6.5 中
Cisco ExpReSSway软件在NAT(TURN)服务器组件的处理中存在一个漏洞,这可能使未经身份验证的远程攻击者能够绕过安全控制,从而将网络流量发送到受限的目的地。
该漏洞的产生是由于受影响的软件中TURN服务器对特定连接信息的验证不当。攻击者可以通过发送特制的网络流量来利用此问题。一旦成功利用,攻击者可能会通过受影响的软件将流量导向应用程序之外的目的地,从而获得未经授权的网络访问,导致信息泄露。
受影响产品:
此漏洞影响启用了TURN服务器功能并运行版本X12.6.3之前的Cisco ExpReSSway系列和Cisco TelePresence视频通信服务器(VCS)。
注意:未启用TURN服务器功能的Cisco ExpReSSway系列和Cisco TelePresence VCS系统不受此漏洞影响。
解决方案:
思科已发布安全更新,Cisco ExpReSSway和Cisco TelePresence版本X12.6.3及更高版本已包含针对此漏洞的修复程序。
以下是升级修复的重要说明:
1. 在进行软件升级时,建议客户定期查看Cisco产品咨询(可通过Cisco安全建议页面获取),以确认暴露程度及完整的升级解决方案。
2. 客户应确保待升级设备具备足够的内存,并确认新版本将继续支持当前的硬件及软件配置。如有疑问,建议客户联系思科技术支持中心(TAC)或其合同维护提供商。
欲了解更多漏洞信息及升级,请访问官网:
https://Tools.cisco.coM/security/centeR/publicationlisting.x
