6月23日,思科发布了安全公告,思科SD-WAN解决方案发现特权提升漏洞,建议尽快升级。以下是漏洞详情:
漏洞详情
来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwpresc-ySJGvE9
1.CVE-2020-3264 CVSS评分:7.0 严重程度:高
思科SD-WAN解决方案软件中的一个漏洞可能允许经过身份验证的本地攻击者在受影响的设备上造成缓冲区溢出,提升特权。
该漏洞是由于输入验证不足造成的。攻击者可以通过向受影响的设备发送精心设计的请求来利用此漏洞。成功的利用可能允许攻击者访问他们无权访问的信息,并对他们无权进行的系统进行更改。
2.CVE-2020-3265 CVSS评分:7.0 严重程度:高
思科SD-WAN解决方案软件中存在一个漏洞,该漏洞可能允许经过身份验证的本地攻击者在底层操作系统上将特权提升为root。
该漏洞是由于输入验证不足造成的。攻击者可以通过向受影响的系统发送精心设计的请求来利用此漏洞。成功的利用可能允许攻击者获得root级别的权限。
受影响产品
如果以下 Cisco 产品运行早于 19.2.2 版的 Cisco SD-WAN 解决方案软件版本,则此漏洞会影响这些产品:
vBond Orchestrator Software
vEdge 100 Series Routers
vEdge 1000 Series Routers
vEdge 2000 Series Routers
vEdge 5000 Series Routers
vEdge Cloud Router Platform
vManage Network Management System
vSmart Controller Software
解决方案
思科已在 Cisco SD-WAN 解决方案软件版本 18.4.5、19.2.2、20.1.1、20.3.1 及更高版本中修复了此漏洞。
要从Cisco.com 上的软件中心下载软件,请单击浏览全部并执行以下操作:
vBond、vEdge Cloud 和 vSmart:
导航到路由器 > 软件定义的 WAN (SD-WAN) > SD-WAN > SD-WAN 软件更新。
在左侧面板中,单击“最新版本”下的19.2.2。
选择vSmart、vEdge Cloud 和 vBond 19.2.2 升级映像。
vEdge 100、1000 和 2000 系列路由器:
导航到路由器 > 软件定义的 WAN (SD-WAN) > vEdge 路由器 > vEdge 路由器模型。
在左侧面板中,单击“最新版本”下的19.2.2。
为 vEdge 100b、vEdge 100m、vEdge 1000、vEdge 2000 路由器选择vEdge 19.2.2 升级映像。
vManage 网络管理软件:
导航到路由器 > 软件定义的 WAN (SD-WAN) > SD-WAN > SD-WAN 软件更新。
在左侧面板中,单击“最新版本”下的19.2.2。
选择vManage 19.2.2 升级映像。
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fast-Zqr6DD5