首页 > 安全钻研 > 安全传递 > 安全公告

思科建复严沉的IOx缝隙安全公告

颁布功夫 2019-09-27

缝隙编号和级别

CVE编号：CVE-2019-12648，危险级别：严沉，CVSS分值：厂商自评：9.9，官方未评定

影响版本

思科1000系列Connected Grid Routers (CGR 1000)和思科800系列Industrial Integrated Services Routers，装置了客户机操作系统的IOS Software易受攻击版本

缝隙概述

思科颁布安全更新，解决了思科IOS Software IOx利用法式环境中的一个严沉缝隙。该缝隙可导致经验证的远程攻击者以根用户身份接见客户机操作系统 (Guest OS)。

当低权限用户要求接见本应被限度为治理怨厮户能力接见的客户机操作系统时，会引发谬误的基于角色的接见节造（RBAC）评估。攻击者可能使用低权限用户凭证验证客户机操作系统，从而利用该缝隙。

客户机操作系统是蕴含Hypervisor、IOS和Guest OS映像的绑缚IOS映像的一部门。通过思科IOS Software映像包执行初始装置或软件升级的客户将在软件映像包装置过程中自动装置客户机操作系统。

治理员可在设备CLI中使用号令show iox host list detail查看设备上是否启用了客户机操作系统。思科在安全布告中提供了如下示例，说了然启用了客户机操作系统的号令输出了局：

GA黄金甲·(中国区)官方网站

此表，思科颁布了半年度Cisco IOS和IOS XE软件安全布告（补丁日）：https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-72547，其中蕴含说了然13个安全缺点的12个思科安全布告，所有的这13个缝隙均未高危缝隙，CVSS评分为7.5到9.9。本文提到的缝隙也是其中的组成部门。思科已颁布解决所有这些缝隙的安全更新，以阻止攻击者利用未建复设备“获取越权接见权限、进行号令注入攻击或引发回绝服务前提”。

GA黄金甲·(中国区)官方网站

缝隙验证

暂无POC/EXP。

建复建议

目前厂商已颁布升级补丁以建复缝隙，补丁获取链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-ios-gos-auth 。

参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-ios-gos-auth

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

思科建复严沉的IOx缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线