您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner

思科智慧網路交換器存在重大漏洞

思科(Cisco)於8/6針對智慧網路交換器系列Cisco Small Business 220 Series發出安全公告,並修補3項可讓駭客執行指令攻擊、執行惡意程式碼及接管系統的漏洞。這3項漏洞分別為CVE-2019-1912、CVE-2019-1913及CVE-2019-1914,皆出在產品韌體Web管理介面。其中CVE-2019-1912是介面對外部呼叫流量檢查不完全,造成驗證繞過(Authentication Bypass)漏洞。駭客可經由HTTP或HTTPS傳送惡意呼叫利用該漏洞,使未獲授權的遠端攻擊者得以上傳任意檔案、修改產品設定或注入反向Shell指令。CVE-2019-1914為指令注入攻擊漏洞,出在Web管理介面對用戶輸入指令驗證不足,攻擊者可經由HTTP或HTTPS傳送惡意呼叫,以Root使用者權限執行任意shell指令。CVE-2019-1913則是一項遠端程式碼執行漏洞,起於Web管理介面對用戶輸入指令驗證不足,以及程式未做好邊界檢查(Boundary Checks),使未授權的遠端用戶得以進行緩衝區溢位攻擊,並取得作業系統Root權限來執行任意程式碼,駭客可從網際網路接管系統。

根據CVSS Base Score,CVE-2019-1914因攻擊者必須具備level 15的登入權限,屬於中度風險漏洞。但CVE-2019-1912及CVE-2019-1913各以9.1及9.8的風險評分,被列為重大風險漏洞。受3項漏洞影響的產品為1.1.4.4版本以前的Cisco 220 Series Smart Switches韌體,思科也發佈更新版本,呼籲用戶儘速升級。

Reference

資料來源:
https://hackernews.blog/dangerous-vulnerabilities-fixed-in-cisco-small-business-220-series-switches/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-auth_bypass
https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20190806-sb220-rce.html?dtid=osscdc000283
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-inject
https://www.ithome.com.tw/news/132310
技術服務中心整理

Publish Date
2019/8/23 0:00:00