鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

Cisco | 11月多个清静误差通告

宣布时间 2020-11-19

0x00 误差概述

2020年11月18日，，，，，，Cisco宣布清静通告，，，，，，其多个产品和组件中保存清静误差。。。。本次宣布的清静误差共计19个，，，，，，其中有3个误差评级为严重，，，，，，3个误差评级为高危，，，，，，13个误差评级为中危。。。。

0x01 误差详情

本次宣布的清静误差如下：

误差名称	评级	CVE ID	宣布时间	版本
Cisco IMC远程代码执行误差	严重	CVE-2020-3470	2020年11月18日	1.0
Cisco DNA Spaces Connector下令注入误差	严重	CVE-2020-3586	2020年11月18日	1.0
Cisco IoT FND REST API验证绕过误差	严重	CVE-2020-3531	2020年11月18日	1.0
Cisco 清静Web装备权限升级误差	高危	CVE-2020-3367	2020年11月18日	1.0
Cisco IoT FND SOAP API授权绕过误差	高危	CVE-2020-26072	2020年11月18日	1.0
Cisco IoT FND缺少API身份验证误差	高危	CVE-2020-3392	2020年11月18日	1.0
Cisco Webex Meetings API跨站剧本误差	中危	CVE-2020-27126	2020年11月18日	1.0
Cisco Webex Meetings和Cisco Webex Meetings Server信息泄露误差	中危	CVE-2020-3441	2020年11月18日	1.0
Cisco Webex Meetings和Cisco Webex Meetings Server未经授权的音频信息泄露误差	中危	CVE-2020-3471	2020年11月18日	1.0
Cisco Webex Meetings和Cisco Webex Meetings Server Ghost毗连误差	中危	CVE-2020-3419	2020年11月18日	1.0
Cisco 网真CE软件和RoomOS软件未经授权的令牌天生误差	中危	CVE-2020-26068	2020年11月18日	1.0
Cisco IoT FND跨站点剧本误差	中危	CVE-2020-26081	2020年11月18日	1.0
Cisco IoT FND域会见控制不当误差	中危	CVE-2020-26080	2020年11月18日	1.0
Cisco IoT FND信息泄露误差	中危	CVE-2020-26076	2020年11月18日	1.0
Cisco IoT FND REST API输入验证误差缺乏	中危	CVE-2020-26075	2020年11月18日	1.0
Cisco IoT FND未受�；；；さ钠局ご娲⑽蟛�	中危	CVE-2020-26079	2020年11月18日	1.0
Cisco IoT FND文件笼罩误差	中危	CVE-2020-26078	2020年11月18日	1.0
Cisco IoT FND会见控制不当误差	中危	CVE-2020-26077	2020年11月18日	1.0
Cisco Expressway信息泄露误差	中危	CVE-2020-3482	2020年11月18日	1.0

严重误差如下：

Cisco IMC远程代码执行误差（CVE-2020-3470）

该误差是对用户的输入验证过失导致的，，，，，，其CVSS评分9.8。。。。攻击者可以通过发送可能导致缓冲区溢出的恶意HTTP请求到受影响系统来使用此误差。。。。乐成使用此误差的攻击者可以治理员权限在系统上执行恣意代码。。。。

影响规模：

5000 Series Enterprise Network Compute System (ENCS)平台

Standalone mode下的UCS C-Series Rack Servers

UCS E-Series Servers

Standalone mode下的UCS S-Series Servers

缓解步伐：

禁用Cisco IMC Web治理界面。。。。以下是UCS C-Series Server上的设置示例：

xxxxxx-bmc# scope http

xxxxxx-bmc /http # set enabled no

SSH is in enabled state. Disabling HTTP service

xxxxxx-bmc /http *# commit

xxxxxx-bmc /http # show detail

HTTP Settings:

HTTP Port: 80

HTTPS Port: 443

Timeout: 1800

Max Sessions: 4

Active Sessions: 0

Enabled: no

HTTP Redirected: yes

xxxxxx-bmc /http # exit

注重：将“enabled”设置为“no”将断开所有运行中的HTTP毗连，，，，，，并无法通过WebUI登录。。。。

详情链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucs-api-rce-UXwpeDHd

Cisco DNA Spaces Connector下令注入误差（CVE-2020-3586）

该误差是基于Web的治理界面临用户输入验证缺乏造成的，，，，，，其CVSS评分9.4。。。。攻击者可以通过向基于Web的治理界面发送恶意HTTP请求来使用此误差。。。。乐成使用此误差的攻击者能够在底层操作系统上执行恣意下令。。。。

影响规模：

Cisco DNA Spaces Connector 2.2及之前版本。。。。

修复建议：

更新至Cisco DNA Spaces Connector 2.3及更高版本。。。。

详情链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dna-cmd-injection-rrAYzOwc

Cisco IoT FND REST API验证绕过误差（CVE-2020-3531）

该误差是无法准确验证REST API挪用导致的，，，，，，其CVSS评分9.8。。。。攻击者可以通过获取跨站点请求伪造（CSRF）令牌并连系REST API请求来使用此误差。。。。乐成使用此误差的攻击者能够会见受影响装备的数据库并读取、更改或删除信息。。。。

影响规模：

Cisco IoT FND 4.6.1之前的版本。。。。

修复建议：

更新至Cisco IoT FND 4.6.1及更高版本。。。。

详情链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-FND-BCK-GHkPNZ5F

0x02 处置惩罚建议

现在Cisco已经宣布了相关更新，，，，，，建议参考官方通告实时修复。。。。

下载地点：

https://software.cisco.com/download/find

0x03 参考链接

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3531

0x04 时间线

2020-11-18 Cisco宣布清静通告

2020-11-19 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】