freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

思科爆出严重漏洞,更新补丁明年一月才能发布!
2022-12-12 11:51:00
所属地 上海

The Hacker News 网站披露,近日思科发布了新的安全公告,指出 IP 电话(网络电话) 7800 和 8800 系列某个固件中存在高危漏洞,一旦攻击者成功利用该漏洞,或引发远程代码执行或拒绝服务(DoS)情况。1670817080_6396a5383e014599acfc7.jpg!small?1670817079987

漏洞被追踪为 CVE-2022-20968(CVSS 评分:8.1),由 Qianxin Group Legendsec Codesafe 团队的 Qian Chen 发现并报告。据悉,漏洞产生的原因是在收到 Cisco 发现协议(CDP)数据包时,存在输入验证不足的情况,思科目前正在积极开发新补丁来解决漏洞问题。

注:通过运行 CDP 协议,思科设备能够在与它们直连的设备之间分享有关操作系统软件版本,以及 IP 地址,硬件平台等相关信息。(默认情况下自动开启。)

漏洞最早要明年一月才能修复

2022 年 12 月 8 日,Cisco 在一份公告中表示,潜在攻击者可以通过向受影响设备发送“精心制作”的思科发现协议流量来利用这一漏洞,若成功利用漏洞,潜在攻击者能够造成堆栈溢出,导致受影响设备上可能出现远程代码执行或拒绝服务(DoS)的情况。

值得一提的是,漏洞主要影响运行固件版本 14.2 及更早版本的Cisco IP 电话,思科方面声称目前暂时没有更新补丁和解决方案来解决该问题,但公司正在加紧开发更新补丁,计划在 2023 年 1 月发布。

此外,在同时支持 CDP 和链路层发现协议(LLDP)用于邻居发现的部署中,用户可以选择禁用 CDP,以便受影响的设备能够切换到 LLDP,向局域网(LAN)中直连的对等设备公布其身份和能力。这种变化可能会带来其它安全风险,需要企业努力评估设备可能会受到的任何潜在影响。

最后,思科强调,CVE-2022-20968 漏洞虽已被公开披露,但迄今为止,没有证据表明该漏洞在野外被积极滥用。

文章来源:

thehackernews.com/2022/12/cisco-warns-of-high-severity-unpatched.html

# 漏洞利用
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录