最新消息,思科修復了其產品中的多個缺陷,其中包括 NX-OS 和 FXOS 軟件中的三個高嚴重性缺陷。攻擊者可以利用這三個問題導致拒絕服務 (DoS) 情況。
以下是供應商在2023 年 8 月 23 日發布的半年度 FXOS 和 NX-OS 軟件安全咨詢捆綁出版物中解決的缺陷列表。
這家 IT 巨頭會在每年 2 月和 8 月的第四個星期三發布 FXOS 和 NX-OS 軟件安全公告捆綁包。
最嚴重的問題被追蹤為 CVE-2023-20200(CVSS 評分 7.7),是存在于 Firepower 4100 系列和 Firepower 9300 安全設備的 Cisco FXOS 軟件以及 Cisco 的簡單網絡管理協議 (SNMP) 服務中的 DoS 錯誤。UCS 6300 系列結構互連。
經過身份驗證的遠程攻擊者可以利用該缺陷在易受攻擊的設備上造成拒絕服務 (DoS) 情況。
該公司發布的公告:該漏洞是由于對特定 SNMP 請求的處理不當造成的。攻擊者可以通過向受影響的設備發送精心設計的 SNMP 請求來利用此漏洞。成功利用該漏洞可能會讓攻擊者導致受影響的設備重新加載,從而導致 DoS 情況。此漏洞影響所有受支持的 SNMP 版本。要通過 SNMPv2c 或更早版本利用此漏洞,攻擊者必須知道受影響設備上配置的 SNMP 社區字符串。要通過 SNMPv3 利用此漏洞,攻擊者必須擁有在受影響設備上配置的 SNMP 用戶的有效憑據。
第二個高嚴重性缺陷為CVE-2023-20169(CVSS 評分 7.4),是影響 Nexus 3000 和 9000 系列交換機的 DoS 問題。該缺陷是由于解析入口 IS-IS 數據包時輸入驗證不足造成的。威脅參與者可以通過向受影響的設備發送精心設計的 IS-IS 數據包來觸發該問題
第三個高嚴重性缺陷為CVE-2023-20168(CVSS 評分 7.1),影響 NX-OS 軟件的 TACACS+ 和 RADIUS 遠程身份驗證。
一顆小胡椒
一顆小胡椒
CNCERT國家工程研究中心
FreeBuf
安全牛
GoUpSec
FreeBuf
一顆小胡椒
007bug
綠盟科技
綠盟科技
綠盟科技
