思科补丁阻止攻击者接管远程呈现系统
思科系统已修复了一个关键漏洞,可能允许攻击者接管远程呈现视频会议系统,并在思科火力和自适应安全设备设备中修补其他高严重性缺陷。
远程呈现软件漏洞源于XML应用程序编程接口(API)的不正确的身份验证机制。攻击者可以通过向XML API发送创建的HTTP请求来利用它来绕过身份验证并在系统上执行未授权的配置更改和命令。
该漏洞存在于TelePresence Codec(TC)和协作端点(CE)软件中。受影响的设备是:TelePresence EX系列,远程呈现集成电路C系列,远程呈现MX系列,远程呈现型材系列,远程呈现SX系列,TelePresence SX Quick Set系列,远程呈现VX临床助手和远程呈现VX战术。
能够“t立即安装软件更新的用户可以禁用XML API来缓解此缺陷,但这样做会通过Cisco Telepresence Management Suite管理系统。
否则,在Cisco Firepower系统软件中修补了高度严重性的拒绝服务漏洞。通过利用缺陷,攻击者可能导致受影响的系统停止检查和处理数据包。
受影响的产品是:Cisco Firepower 7000系列电器,Cisco Firepower 8000系列电器,Cisco Updation Malware保护对Cisco Firepower 7000系列电器和思科的网络上运行的网络运行网络上运行的网络运行8000系列设备。
在Adaptive Security设备5585-X Firepower Security Services处理器模块中,在FirePower系统软件中修补了另一种拒绝式缺陷。通过利用漏洞,攻击者可能导致思科火力模块停止检查流量或停止响应。
除了这些补丁外,思科还在调查本周在OpenSSL库中修补的六种漏洞的哪些产品。当受影响产品的更多信息或补丁可用时,该公司将更新其相应的咨询。