Cisco
思科本周发布安全公告,修补22项软件漏洞,包括1项可能导致阻断攻击或远端程式码执行的交换器软件漏洞。
思科3月28日发布半年一次的Cisco△IOS△及IOS△XE△软件安全公告,包含20项安全更新,修补22项IOS△及IOS△XE△软件漏洞,其中3项为重大风险,19项为高度风险,能让攻击者非授权存取网络装置、取得管理员权限、执行任意程式码等。
其中最严重的是编号CVE-2018-0171的堆叠式缓冲溢位漏洞,它位于IOS△及IOS△XE中的Smart△Install功能中。Smart△Install是方便新交换机部署的组态及映像档管理功能,它可以自动化首次组态,载入现有作业系统映像档到网络交换机中,加速新机部署的速度,此外也具备组态备份功能。本漏洞由安全公司Embedi发现并通报思科。
漏洞发生于Smart△Install△Client的程式码中,使其未能对封包资料做必要验证。攻击者可以发送含有恶意程式码的Smart△Install讯息给思科交换器上的TCP△port△4786,在Smart△Install△Client启动下,引发SMI△IBC△Server对恶意讯息处理,进而导致堆叠式缓冲溢位攻击。
思科表示,成功的攻击可能导致未经验证的远端攻击者驱动装置重新载入,而造成阻断服务(denial△of△service,DoS)或是任意程式码执行攻击。
凡是执行问题版本的IOS△或IOS△XE软件,并启动Smart△Install的思科产品都会受到影响。Embedi扫瞄侦测到网络上有25万台有漏洞的交换器装置,并有850万台装置开启有漏洞的传输埠。曝险装置数目如此之多,安全人员认为可能是因为Smart△Install用户端的TCP△4786预设为开启,却未被网管人员发现。
思科同时警告本项漏洞并没有权宜方式可以避免,必须立即安装修补程式。
I 相关 / Other
近日,广东省深圳市南山区人民法院对吴某、杨某利用手机共享单车APP漏洞,盗窃用户账户余额和收益一案进行了一审宣判,判处被告人吴某有期徒刑六个月,并处罚金1000元;杨某拘役四个月,并处罚金1000元。利用手机APP
预设启用WebRTC功能的浏览器列表。 VPN用户要小心了,你用的VPN服务可能意外的泄漏了你的真实IP位置。资安研究员发现,市面上有23%的VPN服务,通过浏览器的WebRTC技术泄漏使用者的真实IP位置,不幸的是WebRTC在主
预设启用WebRTC功能的浏览器列表。 VPN用户要小心了,你用的VPN服务可能意外的泄漏了你的真实IP位置。资安研究员发现,市面上有23%的VPN服务,通过浏览器的WebRTC技术泄漏使用者的真实IP位置,不幸的是WebRTC在主
GCP优化应用程序效能有新利器Profiler,助开发人员找出吃资源的怪兽程式码
Google近日在GCP的监控服务Stackdriver的效能管理工具APM中,推出新功能Profiler,能够分析在正式环境下执行的应用程序效能,让开发人员改善应用服务的效能,进而减少计算成本,Stackdriver△Profiler目前是公开测试
图片来源: GitHub 专门提供网络钓鱼(Phishing)即时保护能力的Phish.ai在上周开源了浏览器扩充程式Phish.AI△IDN△Protect△,以协助Chrome、Firefox及Opera等浏览器拦截国际化网域名称(IDN)的同形异义(homograp