Cisco修复影响交换机和光纤存储的高危漏洞 – 作者:偶然路过的围观群众

Cisco Systems公司披露了影响其一系列网络设备的八个高危漏洞，包括其交换机和光纤存储解决方案。Cisco的NX-OS受到的影响最为严重，NX-OS是支持Cisco Nexus系列以太网交换机和MDS系列光纤通道存储区域网络交换机的网络操作系统，有六则安全警报与该操作系统相连。

根据Cisco周三发布的安全公告，所有的漏洞都已有可用的补丁。除了八个已修复的高危漏洞外，Cisco同时修复了一个影响Cisco Unified Computing System管理软件的中危漏洞（CVE-2020-3504）。

影响Cisco NX-OS的高危漏洞包括CVE-2020-3397，CVE-2020-3398，CVE-2020-3338，CVE-2020-3415，CVE-2020-3517和CVE-2020-3454。

根据厂商发布的安全公告，CVE-2020-3397和CVE-2020-3398都是“Cisco NX-OS软件边界网关协议组播VPN拒绝服务漏洞”。攻击者可通过会话重置和设备重新加载利用这两个漏洞发动部分或持久的拒绝服务攻击。

关于CVE-2020-3397，Cisco指出，该漏洞源于对某个特定类型的BGP MVPN更新信息的输入验证不充分。攻击者可通过向目标设备发送特定的，合法的BGP MVPN更新信息利用该漏洞。另一个VPN漏洞源于对某个特定类型的BGP MVPN更新信息的解析错误。

Cisco还报告了一个存在于其NX-OS软件中的IPv6 Protocol Independent Multicast（PIM）功能的漏洞（CVE-2020-3338）。Cisco指出，“交换机之间使用PIM，这样它们就可以跟踪转发给彼此的和给它们直接连接的LAN的组播数据包。”

Cisco表示，未经身份认证的远程攻击者可利用该漏洞在受影响的设备上造成拒绝服务。Nexus 3000 Series Switches（CSCvr91853），Nexus 7000 Series Switches（CSCvr97684）和处于独立NX-OS模式的Nexus 9000 Series Switches（CSCvr91853）受到影响。

CVE-2020-3454漏洞存在于NX-OS软件的Call Home功能中，该漏洞是个命令注入漏洞。经身份认证的远程攻击者可利用该漏洞注入任意命令，进而在底层操作系统上以root权限执行注入的命令。

Cisco警告称，“该漏洞源于在为该软件配置传输方法HTTP时，对特定Call Home配置参数的输入验证不充分。攻击者可通过修改受影响设备上的Call Home配置中的参数利用该漏洞。”

九款Cisco交换机，包括MDS 9000 Series Multilayer Switches和Nexus 9500 R-Series Switching Platform受到该漏洞的影响。

————————————————————————————————————–

消息来源Threat Post；转载请注明出处。

关注群智分析平台公众号，获取资讯《俄罗斯快速支付系统存在漏洞，攻击者可窃取金钱》。

来源：freebuf.com 2020-08-28 15:15:47 by: 偶然路过的围观群众