前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >思科产品中存在严重硬编码密码漏洞和Java反序列化漏洞

思科产品中存在严重硬编码密码漏洞和Java反序列化漏洞

作者头像
FB客服
发布2018-03-22 16:31:42
1.4K0
发布2018-03-22 16:31:42
举报
文章被收录于专栏:FreeBuf

近日,思科发布了 22 条安全公告,其中包括两条重要的修复方案:修复一个硬编码密码漏洞( CVE-2018-0141)和一个 Java 反序列化漏洞(CVE-2018-0147)。

硬编码密码漏洞

硬编码密码漏洞影响思科的 Prime Collaboration Provisioning(PCP)产品,该产品的主要作用是让管理员远程安装并维护思科内部部署的通信设备(集成 IP 电话、视频、语音邮件)及其订阅用户的相关服务。思科 PCP 通常安装在 Linux 服务器上。未认证的本地攻击者可以利用这个漏洞,感染位于同一网络中的其他设备,将其作为 SSH 连接到受影响的系统,把权限提升到 root 级别,进而接管整个系统(PCP 的 Linux 操作系统)。

按照 CVSS 漏洞评分(满分 10 分),硬编码密码漏洞只有 5.9,属于中危级别。思科在内部安全测试过程中发现了这漏洞,由于可能存在未被重视的不安全环境,可能导致攻击者获取 root 权限,因此将其评委“严重高危”。思科表示,该漏洞目前只影响 2016 年发布的 PCP 11.6 版本,建议用户尽快升级到打过补丁的 PCP 12.1 版本,避免安全问题。

Java 反序列化漏洞

另一个比较受重视的漏洞是 Java 反序列化漏洞,影响思科的安全访问控制系统(ACS)。由于受影响的软件试图反序列化用户提供的内容时,远程攻击者可以利用这个漏洞,无需提供正确凭证就能发送精心设计的序列化 Java 对象,获取 root 权限并执行任意命令。

按照 CVSS 漏洞评分(满分 10 分),这个漏洞得分为 9.8 分,属于严重漏洞,影响 5.8 patch 9 版本之前所有版本的思科安全 ACS 系统。不过,运行 5.8 patch 7 版本和 5.8 patch 8 版本的系统需要提供凭证才能利用,因此 CVSS 漏洞评分为 8.8。思恩客建议用户尽快将系统升级到最新版本,并参考安全公告进行安全更新。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-03-09,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 硬编码密码漏洞
  • Java 反序列化漏洞
相关产品与服务
手游安全测试
手游安全测试(Security Radar,SR)为企业提供私密的安全测试服务,通过主动挖掘游戏业务安全漏洞(如钻石盗刷、服务器宕机、无敌秒杀等40多种漏洞),提前暴露游戏潜在安全风险,提供解决方案及时修复,最大程度降低事后外挂危害与外挂打击成本。该服务为腾讯游戏开放的手游安全漏洞挖掘技术,杜绝游戏外挂损失。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档