企業網D1Net(全球IP通信聯盟旗下媒體)9月30日訊(上海)思科公司本周發布了大規模的安全性公告,詳細介紹了其主要軟件和統一通信產品的10個獨立的安全漏洞。
在思科公司網站的安全咨詢板塊對漏洞的具體情況做了詳細介紹,包括思科IOS操作系統IP服務登記協議的拒絕服務攻擊(DOS)漏洞。思科宣稱,當設備接收到被篡改的UDP數據包時,漏洞就會被觸發。思科發布了軟件更新已解決該漏洞。
另一個具體的漏洞來自于思科10000系列路由器,通過發送一系列的ICMP報文,攻擊者可以使設備重載。思科對此發布了軟件更新補丁,并在安全公告中介紹了保護路由器的解決方法。
思科Catalyst交換機未能幸免。漏洞出現在思科IOS軟件的智能安裝功能上。未經身份驗證的遠程攻擊者可能在受漏洞影響的設備上執行遠程代碼。思科已再次發布針對該問題的免費軟件。
在思科統一通信管理器中發現了一個可由非法SIP消息觸發的內存泄露漏洞。思科將為統一通信管理器發布免費軟件更新,同時,官方網站中也提供了現有的解決方法。
思科IOS軟件的數據鏈路交換功能中也發現了一些漏洞。在IOS的NAT功能(網絡地址轉換)中存在多個針對網絡會議目錄、SIP、H.323以及IPv6協議棧的拒絕服務攻擊(DoS)漏洞。
另外,在思科IOS及IOS XE軟件的SIP協議實現中也存在DoS漏洞。軟件更新將解決這些漏洞。同時,如果必須運行SIP的設備沒有合適解決方法時,思科公司建議采取一些緩解措施可以限制漏洞在攻擊者前的暴露。
思科本周最后提到的漏洞涉及Jabber可擴展通信平臺和思科統一在線狀態監測產品。這些產品同樣也存在一個DoS漏洞,未經身份驗證的遠程攻擊者可以通過漏洞向受影響的服務器發送惡意XML。思科表示,這一漏洞暫時還沒有解決方法。(Score編譯)
京公網安備 11010502049343號