思科修复了NX-OS和FXOS软件中的3个高危拒绝服务漏洞
思科解决了NX-OS和FXOS软件中可能导致拒绝服务 (DoS) 情况的三个高严重性缺陷。
思科本周解决了其产品中的多个缺陷,其中包括 NX-OS 和 FXOS 软件中的三个高严重性缺陷。攻击者可以利用这三个问题导致拒绝服务 (DoS) 情况。
以下是供应商在2023 年 8 月 23 日发布的半年度 FXOS 和 NX-OS 软件安全咨询捆绑出版物中解决的缺陷列表。
| 安全咨询 | CVE ID | 安全影响评级 | CVSS 基础分数 | 受影响的软件 | 受影响的硬件平台 |
|---|---|---|---|---|---|
| Cisco Firepower 4100 系列、Firepower 9300 安全设备和 UCS 6300 系列交换矩阵互连 SNMP 拒绝服务漏洞 | CVE-2023-20200 | 高的 | 7.7 | FXOS 软件、UCS 软件(托管) | Firepower 4100 系列、思科 Firepower 9000 系列、UCS 6300 系列交换矩阵互连 |
| Cisco Nexus 3000 和 9000 系列交换机 IS-IS 协议拒绝服务漏洞 | CVE-2023-20169 | 高的 | 7.4 | NX-OS 软件 | Nexus 3000 系列交换机、Nexus 9000 系列交换机 |
| Cisco NX-OS 软件 TACACS+ 或 RADIUS 远程身份验证定向请求拒绝服务漏洞 | CVE-2023-20168 | 高的 | 7.1 | NX-OS 软件 | MDS 9000 多层导向器和交换矩阵交换机、Nexus 1000V 系列交换机、Cisco Nexus 3000 系列交换机、Nexus 5000 系列交换机、Nexus 6000 系列交换机、Nexus 7000 系列交换机、Nexus 9000 系列交换机 |
| Cisco Nexus 3000 和 9000 系列交换机 SFTP 服务器文件访问漏洞 | CVE-2023-20115 | 中等的 | 5.4 | NX-OS 软件 | Nexus 3000 系列交换机、Nexus 9000 系列交换机 |
| Cisco FXOS 软件任意文件写入漏洞 | CVE-2023-20234 | 中等的 | 4.4 | FXOS软件 | Firepower 1000 系列、Firepower 2100 系列、安全防火墙 3100 系列、Firepower 4100 系列、Firepower 9000 系列 |
这家 IT 巨头会在每年 2 月和 8 月的第四个星期三发布 FXOS 和 NX-OS 软件安全公告捆绑包。
最严重的问题被追踪为 CVE-2023-20200(CVSS 评分 7.7),是存在于 Firepower 4100 系列和 Firepower 9300 安全设备的 Cisco FXOS 软件以及 Cisco 的简单网络管理协议 (SNMP) 服务中的 DoS 错误。 UCS 6300 系列结构互连。
经过身份验证的远程攻击者可以利用该缺陷在易受攻击的设备上造成拒绝服务 (DoS) 情况。
“该漏洞是由于对特定 SNMP 请求的处理不当造成的。攻击者可以通过向受影响的设备发送精心设计的 SNMP 请求来利用此漏洞。成功利用该漏洞可能会让攻击者导致受影响的设备重新加载,从而导致 DoS 情况。” 该公司发布的公告称。 “此漏洞影响所有受支持的 SNMP 版本。要通过 SNMPv2c 或更早版本利用此漏洞,攻击者必须知道受影响设备上配置的 SNMP 社区字符串。要通过 SNMPv3 利用此漏洞,攻击者必须拥有在受影响设备上配置的 SNMP 用户的有效凭据。”
第二个高严重性缺陷为CVE-2023-20169(CVSS 评分 7.4),是影响 Nexus 3000 和 9000 系列交换机的 DoS 问题。该缺陷是由于解析入口 IS-IS 数据包时输入验证不足造成的。威胁参与者可以通过向受影响的设备发送精心设计的 IS-IS 数据包来触发该问题
第三个高严重性缺陷为CVE-2023-20168(CVSS 评分 7.1),影响 NX-OS 软件的 TACACS+ 和 RADIUS 远程身份验证。
这家科技巨头并不知道这些漏洞有任何被广泛利用。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/7848.html
