来源:互联网 时间:2019-07-19 17:32:42
尽管经常进行修补,但几个月前首次发现的小型企业路由器中的两个关键漏洞尚未获得足够的修复。该公司承认,思科RV320和RV325双千兆WAN VPN路由器中的一对关键错误已经发布了初步修复,但发现这些错误并不完整。这些失败的补丁试图作为昨天发布的修补浪潮的一部分,主要是为了填补该公司的IOS和IOS XE软件的空白。
总共修复了25个问题,其中6个被评为“中等”,19个被认为是高风险。在这一轮补丁中有几个命令注入漏洞和权限提升漏洞的补丁。“这个漏洞的初步修复被发现是不完整的,”这个网络巨头说这两个漏洞。“思科目前正在进行全面修复。”
这两个漏洞在今年1月23日首次被标记,但迄今为止尚未找到成功的修复或解决方法。两天后,该公司详细阐述了这些漏洞的性质。
第一个被称为CVE-2019-1652,涉及一个远程代码执行漏洞,如果被利用,可能允许具有管理员权限的远程攻击者在其中一个受影响的路由器上执行任意命令。第二个,CVE-2019-1653,可能允许攻击者检索敏感信息,如路由器配置或详细的诊断信息。
信息泄露缺陷是由于对URL的访问控制不当,攻击者可以通过HTTP或HTTPS连接到受影响的设备并请求特定的URL。同时,远程代码执行漏洞可以通过向路由器的基于Web的管理界面发送恶意HTTP POST请求来利用。
网络安全专家Graham Cluley告诉IT专业人员,这两个漏洞仍未修补,这对小企业来说是个令人不安的消息。
“在这两种情况下,思科都认为它曾在1月修复了这个漏洞 - 但现在发现它没有做到这一点。
“可能使用这些设备的小企业的坏消息是,思科目前没有可用的补丁,甚至无法建议解决方案。因此,网络犯罪分子有可能试图利用思科的漏洞本身的严重程度很高。
“我们希望思科能够尽快推出有效的固件更新。”
思科表示,它旨在通过更新的固件版本修复运行固件版本1.4.2.15及更高版本的路由器中存在的漏洞。预计将于2019年4月中旬发布。
相关推荐
猜你喜欢