思科发布数个 NX-OS 高危漏洞更新

本周三,思科通告消费者,刚发布的几项产品更新修复了数个重大高危漏洞。

其中,最严重的一个漏洞与 NX-OS 网络操作系统上的一个不安全的默认凭据有关,影响运行该操作系统的思科 Nexus 3000 和 3500 系列交换机平台。这一漏洞编号为 CVE-2016-1329,黑客可利用某配有静态密码的默认账户获取 Root 权限,远程登录到存在漏洞的设备。

另一个问题是,用户无法在不影响系统功能的前提下,更改或移除这一在安装过程中创建的高危账号。

这一安全漏洞影响运行:

NX-OS 6.0(2)U6(1) 、6.0(2)U6(2) 、 6.0(2)U6(3) 、 6.0(2)U6(4) 、 6.0(2)U6(5) 版本的 Nexus 3000 系列交换机,以及运行 6.0(2)A6(1) 、 6.0(2)A6(2) 、 6.0(2)A6(3) 、 6.0(2)A6(4) 、 6.0(2)A6(5) 、6.0(2)A7(1) 版本的 Nexus 3500 交换机平台。

无法尽快安装补丁的用户可以根据思科发布的建议,采取替代措施。

思科此次也发布了针对运行 NX-OS 的 Nexus 5500/5600 系列交换机平台以及 Nexus 6000 系列交换机的软件升级,修复了简单网络管理协议(SNMP)输入信息包处理器中的一个高危拒绝服务漏洞。

攻击者可以利用这一编号为 CVE-2015-6260的漏洞,向目标设备远程发送特制的 SNMP 包,致使 SNMP 应用重新启动。威胁源可以导致应用多次重启,造成系统层面上的重启,产生拒绝服务效果。

该漏洞影响 NX-OS 7.1(1)N1(1) 版本,并已在 7.1(2)N1(1) 版本中得到升级。目前没有替代解决措施。

NX-OS 的 TCP 栈还存在一个高危拒绝漏洞,编号为 CVE-2015-0718。攻击者可以向目标设备远程发送特制的 TCP 包,产生拒绝服务效果。

这一问题影响思科 Nexus 1000V 、 3000 、 4000 、 5000 、 6000 、 7000 系列交换机,此外还有运行 NX-OS 的思科统一计算系统(Unified Computing System,UCS)。

思科在周三发布的指导意见中还披露了另一个高危拒绝服务漏洞,编号 CVE-2016-1288。此漏洞存在于思科网络安全应用(Web Security Appliance,WSA)的 Web 代理框架中。远端攻击者可以发送恶意篡改的 HTTPS 请求包,导致存在漏洞的设备出现暂时性的拒绝服务状态。

  思科表示,目前尚未看到上述实例遭到恶意利用的情况。

本文转自d1net(转载)

时间: 2024-09-24 04:29:52

思科发布数个 NX-OS 高危漏洞更新的相关文章

安全漏洞提醒思科发布公告修复4个漏洞

新华网天津2月2日电 (记者 张建新) 国家计算机网络入侵防范中心安全漏洞周报称,1月25日至31日,安全漏洞共计48个,其中高危漏洞28个,总量相比前一周略有下降.其中对我国用户影响较大安全漏洞有:Cisco Unified MeetingPlace会议系统多个安全漏洞和Realplayer播放器多个安全漏洞. 这些安全漏洞如果被攻击者利用可能泄露敏感信息.权限提升或执行任意代码等. 国家计算机网络入侵防范中心副主任张玉清说,本周最值得关注的是思科公司发布的安全公告cisco-sa-20100

iPhone高危漏洞数210个 为其他平台总和四倍

3月29日消息,据国外http://www.aliyun.com/zixun/aggregation/31646.html">媒体报道,研究公司Sourcefire发布的报告显示,iPhone手机已知"高危漏洞"(Critical Vulnerbility and Exposure)数为210个,Android平台"高危漏洞"数为24个,黑莓为1个,Windows Phone为14个. Sourcefire指出,仅从数据上看,在众多手机品牌中,iPh

iPhone高危漏洞数210个 是其他平台总和四倍

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 iPhone安全隐患最高?(TechWeb配图) [TechWeb报道]3月29日消息,据国外媒体报道,研究公司Sourcefire发布的报告显示,iPhone手机已知"高危漏洞"(Critical Vulnerbility and Exposure)数为210个,Android平台"高危漏洞"数为24

游戏安全资讯精选 2017年 第四期:游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,开源CMS Drupal 8发布更新修复多处高危漏洞补丁

  [每周行业DDoS攻击态势]     [游戏安全动态]  魔兽世界遭遇DDoS攻击.点击查看原文   概要:此次 DDoS 攻击实际是从周日的早上开始发生,暴雪发现问题后第一时间在 Twitter 上发出通知,"我们正在对于身份验证服务缓慢的原因进行调查."目前还没有个人或组织对此次 DDoS 事件负责,暴雪目前也还未公开更多攻击细节.(引用自Freebuf) 点评:阿里云安全团队也跟踪发现,暴雪被DDoS的时长近三小时.攻击最开始,登录服出现问题,接着是支付出现问题,并在1小时后

NTP DoS高危漏洞 CVE-2016-9312 绿盟科技发布威胁通告 中国受影响设备过万

2016.11.21日,NTF's Network Time Protocol (NTP) 项目发布了 ntp-4.2.8p9 ,这是 ntp-4.2.8p8 发布以来的第一次更新.此次更新发布了10个漏洞,其中1个高危,具体信息如下: 1 个高危漏洞,仅影响Windows 2 MEDIUM severity vulnerabilities 2 MEDIUM/LOW severity vulnerabilities 5 LOW severity vulnerabilities 28 non-se

站长们注意啦!开源CMS Drupal 8发布更新修复多处高危漏洞补丁,提示您升级

据外媒报道, Drupal 研究人员于 8 月 16 日发布安全报告,宣称已修复 Drupal 8 多处漏洞并在线更新安全补丁.研究显示这些漏洞影响 Drupal 8 多个系统组件,包括实体访问系统.REST API 与部分视图组件. CVE-2017-6925 研究人员发现 Drupal 8.3.7 中存在一处高危漏洞(CVE-2017-6925),影响实体访问系统,允许攻击者查看.创建.删除或更新实体.不过,该漏洞仅影响不具备 UUID 实体,以及对同一实体不同版本有多种访问限制的实体系统.

绿盟科技发布OpenSSL高危漏洞技术分析与防护方案 G20成员国美国、中国、德国受影响较大

近日,OpenSSL官方发布了版本更新,修复了多个OpenSSL漏洞,这次更新所修复的漏洞中,有两个危害等级较高的为CVE-2016-6304和CVE-2016-6305.绿盟科技对此漏洞进行了技术分析并提出了防护方案. 自2014年4月心脏滴血漏洞爆发以来,绿盟科技对OpenSSL的CVE漏洞进行密切的监控,据绿盟科技威胁情报中心(NTI)统计到的数据显示,2年来OpenSSL漏洞变化不大总体持平,总计高危漏洞13个,其中今年9月份3个高危漏洞.绿盟科技漏洞库迄今为止收录了82个重要漏洞. O

高危漏洞通告 BIND最新漏洞将导致DoS攻击 绿盟科技发布预警通告

上个月,流行DNS软件BIND中的一个严重DoS漏洞(CVE-2016-2776)得到了修补,但是该漏洞已经被广泛利用,用以摧毁系统.绿盟科技发布高危漏洞预警通告,这意味着该漏洞影响范围比较广,危害严重,利用难度较低,7*24小时内部应急跟踪,24小时内完成技术分析.产品升级和防护方案. 该漏洞由互联网系统联盟(ISC)发现并以CVE-2016-2776的ID进行追踪.9月下旬,BIND 9.9.9-P3.9.10.4-P3.9.11.0rc3的发布修补了这一漏洞.攻击者可通过特制的DNS报文,

Secunia发布Safari浏览器高危漏洞

5月11日消息,Secunia上周发布一个关于Safari浏览器的高危漏洞,它允许攻击者在系统中执行恶意代码.外部窗口的错误使用引起非法指针函数调用,从而引发该漏洞. 安全研究机构发现,利用该漏洞可以在用户访问恶意网页和关闭弹出窗口时得到系统权限.受影响的Safari为安装在Windows上的4.0.5版本,安装在其他操作系统上的其他版本Safari也可能受影响. Secunia建议用户在苹果公司提供更新之前,不要访问非可信网站. Safari浏览器在Mac和普通PC上均可使用.Safari 4