据北京思科交换机渠道商(联信永成)了解,思科发布了产品安全更新,用来解决思科小型企业220系列智能交换机的几个漏洞,这个漏洞包括了两个关键问题,具体是什么呢?北京思科交换机渠道商了解(联信永成)带您来了解一下。
北京思科交换机渠道商(联信永成)指出:
1、思科小型企业220系列智能交换机此次修复的最重要的漏洞是CVE-2019-1913,它可以被未经身份验证的远程攻击者利用,以root特权执行任意代码。可能会导致未经身份验证的远程攻击者溢出缓冲区,从而允许在底层操作系统上执行具有根权限的任意代码。北京思科交换机渠道商(联信永成)告诉我们,这些漏洞是由于用户提供的输入验证不足和将数据读入内部缓冲区时边界检查不当造成的。攻击者可以通过向受影响设备的web管理界面发送恶意请求或者以利用这些缺陷,根据设备的配置,通过HTTP或HTTPS向交换机发送特殊设计请求来利用这些漏洞。
2、第二个关键缺陷是CVE-2019-1912。北京思科交换机渠道商(联信永成)表示,未经身份验证的远程攻击者可以利用该漏洞上传任意文件。此问题是由于web管理接口中的授权检查不完整造成的。攻击者可以通过向web管理界面的某些部分发送一个特别设计的请求来利用这个漏洞。北京思科交换机代理商利用这一漏洞,攻击者可以修改易受攻击开关的配置,或注入反向shell。
关于思科220系列智能交换机此次修复的2个关键漏洞,北京思科交换机渠道商(联信永成)就给大家分享到这里,如果您还有其他疑问的话可电话进行咨询。北京思科交换机渠道商(联信永成)专业为您提供思科交换机产品,型号齐全,希望我们合作愉快。