首页 > 安全钻研 > 安全传递 > 安全公告

Cisco 多个安全缝隙安全公告

颁布功夫 2018-06-21

缝隙编号和级别

CVE-2018-0301 严沉厂商自评：9.8 CVSS分值：官方未评定
CVE-2018-0304 严沉厂商自评：9.8 CVSS分值：官方未评定
CVE-2018-0308 严沉厂商自评：9.8 CVSS分值：官方未评定
CVE-2018-0312 严沉厂商自评：9.8 CVSS分值：官方未评定
CVE-2018-0314 严沉厂商自评：9.8 CVSS分值：官方未评定

影响领域

缝隙影响Cisco FXOS软件和NX-OS软件，涉及的产品MDS、Nexus、Firepower、UCS，具体版本见缝隙概述。

缝隙概述

6月20日，Cisco官方颁布安全公告建复了多个分歧水平的安全缝隙，其中蕴含5个严沉缝隙。有关链接：

https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-67770。

CVE-2018-0301 (Critical)

Cisco NX-OS软件的NX-API职能中存在的缝隙可能允许未经身份验证的远程攻击者向受影响系统的治理接口发送恶意数据包，从而导致缓冲区溢出。

该缝隙是由于NX-API子系统的身份验证�？橹惺淙胙橹げ徽返贾碌�。攻击者能够通过将精心机关的HTTP或HTTPS数据包发送到启用了NX-API职能的受影响系统的治理界面来利用此缝隙。该缝隙可能允许攻击者以root身份执行肆意代码。把稳：NX-API默认是禁用的。

受影响产品及版本：

以下思科产品受此缝隙影响：

MDS 9000 Series Multilayer Switches
Nexus 2000 Series Fabric Extenders
Nexus 3000 Series Switches
Nexus 3500 Platform Switches
Nexus 5500 Platform Switches
Nexus 5600 Platform Switches
Nexus 6000 Series Switches
Nexus 7000 Series Switches
Nexus 7700 Series Switches
Nexus 9000 Series Switches in standalone NX-OS mode
Nexus 9500 R-Series Line Cards and Fabric Modules

以上产品中受影响的Cisco NX-OS软件版本详见：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-nxos-bo#fs

CVE-2018-0304 (Critical)

Cisco FXOS软件和NX-OS软件中Cisco Fabric Services（CFS）组件里的缝隙可能允许未经身份验证的远程攻击者读取敏感内存内容，创造回绝服务前提或以root身份执行肆意代码。

存在此缝隙是由于受影响的软件未充分验证Cisco Fabric Services数据包标头。攻击者能够通过向受影响的设备发送特造的Cisco Fabric Services数据包来利用此缝隙。一次成功的攻击可能会允许攻击者在Cisco Fabric Services组件中导致缓冲区溢出或缓冲区过读，这可能允许攻击者读取敏感内存信息，创造回绝服务前提或以root身份执行肆意代码。

受影响产品及版本：

以下思科产品受此缝隙影响：

Firepower 4100 Series Next-Generation Firewalls
Firepower 9300 Security Appliance
MDS 9000 Series Multilayer Switches
Nexus 2000 Series Fabric Extenders
Nexus 3000 Series Switches
Nexus 3500 Platform Switches
Nexus 5500 Platform Switches
Nexus 5600 Platform Switches
Nexus 6000 Series Switches
Nexus 7000 Series Switches
Nexus 7700 Series Switches
Nexus 9000 Series Switches in standalone NX-OS mode
Nexus 9500 R-Series Line Cards and Fabric Modules
UCS 6100 Series Fabric Interconnects
UCS 6200 Series Fabric Interconnects
UCS 6300 Series Fabric Interconnects

以上产品中受影响的Cisco FXOS或NX-OS软件版本详见：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-fxnxos-ace#fs

CVE-2018-0308 (Critical)

Cisco FXOS软件和NX-OS软件中Cisco Fabric Services（CFS）组件里的缝隙可能允许未经身份验证的远程攻击者执行肆意代码或导致回绝服务攻击。

存在此缝隙是由于受影响的软件未充分验证Cisco Fabric Services数据包中的标头值。攻击者能够通过向受影响的设备发送特造的Cisco Fabric Services数据包来利用此缝隙。一次成功的攻击可能会造成缓冲区溢出，从而使攻击者能够执行肆意代码或导致DoS。

受影响产品及版本：

以下思科产品受此缝隙影响：

以上产品中受影响的Cisco FXOS或NX-OS软件版本详见：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-fxnxos-fab-ace#fs

CVE-2018-0312 (Critical)

Cisco FXOS软件和NX-OS软件中Cisco Fabric Services（CFS）组件里的缝隙可能允许未经身份验证的远程攻击者执行肆意代码或在受影响的设备上导致回绝服务攻击。

存在此缝隙是由于受影响的软件在处置数据包时未充分验证Cisco Fabric Services数据包标头。攻击者能够通过向受影响的设备发送恶意机关的Cisco Fabric Services数据包来利用此缝隙。一次成功的攻击可能会允许攻击者在设备上造成缓冲区溢出，从而允许攻击者执行肆意代码或在设备上导致回绝服务。

受影响的版本：

以下思科产品受此缝隙影响：

以上产品中受影响的Cisco FXOS或NX-OS软件版本详见：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-fx-os-cli-execution#fs

CVE-2018-0314 (Critical)

Cisco FXOS软件和NX-OS软件中Cisco Fabric Services（CFS）组件里的缝隙可能允许未经身份验证的远程攻击者在受影响的设备上执行肆意代码。

存在此缝隙是由于受影响的软件在处置数据包时未充分验证Cisco Fabric Services数据包标头。攻击者能够通过向受影响的设备发送恶意机关的Cisco Fabric Services数据包来利用此缝隙。一次成功的攻击可能会允许攻击者在设备上造成缓冲区溢出，从而允许攻击者在设备上执行肆意代码。

受影响的版本：

以下思科产品受此缝隙影响：

以上产品中受影响的Cisco FXOS或NX-OS软件版本详见：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-fx-os-fabric-execution#fs

建复建议：

升级至参考链接中提醒的安全版本。

参考链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-nxos-bo#fs

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-fxnxos-ace#fs

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-fxnxos-fab-ace#fs

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-fx-os-cli-execution#fs

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-fx-os-fabric-execution#fs

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Cisco 多个安全缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线