freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

思科产品中存在严重硬编码密码漏洞和Java反序列化漏洞
2018-03-09 14:49:41

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

近日,思科发布了 22 条安全公告,其中包括两条重要的修复方案:修复一个硬编码密码漏洞( CVE-2018-0141)和一个 Java 反序列化漏洞(CVE-2018-0147)。

QQ截图20180309110015.png

硬编码密码漏洞

硬编码密码漏洞影响思科的 Prime Collaboration Provisioning(PCP)产品,该产品的主要作用是让管理员远程安装并维护思科内部部署的通信设备(集成 IP 电话、视频、语音邮件)及其订阅用户的相关服务。思科 PCP 通常安装在 Linux 服务器上。未认证的本地攻击者可以利用这个漏洞,感染位于同一网络中的其他设备,将其作为 SSH 连接到受影响的系统,把权限提升到 root 级别,进而接管整个系统(PCP 的 Linux 操作系统)。

按照 CVSS 漏洞评分(满分 10 分),硬编码密码漏洞只有 5.9,属于中危级别。思科在内部安全测试过程中发现了这漏洞,由于可能存在未被重视的不安全环境,可能导致攻击者获取 root 权限,因此将其评委“严重高危”。思科表示,该漏洞目前只影响 2016 年发布的 PCP 11.6 版本,建议用户尽快升级到打过补丁的 PCP 12.1 版本,避免安全问题。

cisco-default-ssh-key.png

Java 反序列化漏洞

另一个比较受重视的漏洞是 Java 反序列化漏洞,影响思科的安全访问控制系统(ACS)。由于受影响的软件试图反序列化用户提供的内容时,远程攻击者可以利用这个漏洞,无需提供正确凭证就能发送精心设计的序列化 Java 对象,获取 root 权限并执行任意命令。

按照 CVSS 漏洞评分(满分 10 分),这个漏洞得分为 9.8 分,属于严重漏洞,影响 5.8 patch 9 版本之前所有版本的思科安全 ACS 系统。不过,运行 5.8 patch 7 版本和 5.8 patch 8 版本的系统需要提供凭证才能利用,因此 CVSS 漏洞评分为 8.8。思恩客建议用户尽快将系统升级到最新版本,并参考安全公告进行安全更新。

*参考来源:TheHackerNews,AngelaY 编译整理,转载请注明来自 FreeBuf.COM

# 漏洞 # 思科 # java反序列化 # 安全修复 # 硬编码密码
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者