Cisco security ManageR(CSM)是美国思科(Cisco)公司的一套企业级的管理应用,主要用于在Cisco网络和安全设备上配置防火墙、VPN和入侵保护安全服务。
11月16日,思科公司发布了紧急安全更新,主要修复了CSM安全管理器中信息泄露以及静态证书等重要漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2020-27130 CVSS评分:9.1 危急
Cisco security ManageR中的漏洞可能允许未经身份验证的远程攻击者访问敏感信息,造成信息泄露。
该漏洞是由于对受影响设备的请求中对目录遍历字符序列的验证不正确造成的。攻击者可以通过向受影响的设备发送精心设计的请求来利用此漏洞。成功利用此漏洞可能使攻击者从受影响的设备下载任意文件。
2.CVE-2020-27131 CVSS评分:8.1 高
Cisco security ManageR使用的Java反序列化功能中的多个漏洞可能允许未经身份验证的远程攻击者在受影响的设备上执行任意命令。
这些漏洞是由于受影响的软件不安全地反序列化用户提供的内容而导致的。攻击者可以通过将恶意的序列化Java对象发送给受影响的系统上的特定侦听器来利用这些漏洞。成功利用此漏洞可能使攻击者在Windows目标主机上使用NT AUTHORITY system特权在设备上执行任意命令。
3.CVE-2020-27125 CVSS评分:7.4 高
Cisco security ManageR中的漏洞可能允许未经身份验证的远程攻击者访问受影响系统上的敏感信息,造成信息泄露。
该漏洞是由于对受影响的软件中的静态凭据没有提供足够的保护所致。攻击者可以通过查看源代码来利用此漏洞。成功的利用可能使攻击者可以查看静态凭据,攻击者可以使用这些凭据来进行进一步的攻击。
受影响产品
上述漏洞影响Cisco security ManageR 4.21和及更早版本。
解决方案
对于CVE-2020-27130和CVE-2020-27125两个漏洞:
升级Cisco security ManageR 4.22版本可修复
对于CVE-2020-27131漏洞:
思科计划在Cisco security ManageR版本4.23中修复这些漏洞。
以下是升级修复重要说明:
1.对购买了许可证的软件版本和功能集提供支持,通过安装,下载,访问或以其他方式使用此类软件升级。
2.从思科或通过思科授权的经销商或合作伙伴购买的,具有有效许可证的软件可获得维护升级。
3.直接从思科购买但不持有思科服务合同的客户以及通过第三方供应商进行购买但未通过销售点获得修复软件的客户应通过联系思科技术支持中心获得升级。
4.客户应拥有可用的产品序列号,并准备提供上述安全通报的URL,以作为有权免费升级的证据。