思科发布了针对 IOS RX 软件中多个漏洞的补丁,其中包括三个导致拒绝服务 (DoS) 和特权提升的高严重性缺陷。
最严重的高严重性错误是 CVE-2024-20320,这是 IOS RX 的 SSH 功能中的一个问题,攻击者可以通过向 CLI 发送精心设计的 SSH 命令来将权限提升到 root。
该安全漏洞影响了 8000 系列路由器以及网络融合系统 (NCS) 540 系列和 5700 系列路由器,随着 IOS RX 版本 7.10.2 的发布,该安全漏洞已得到修补。运行旧版本操作系统的设备应升级到已修补的版本。
第二个高严重性缺陷(编号为 CVE-2024-20318)会影响启用了第 2 层服务功能的线卡。攻击者可以通过易受攻击的设备发送特定的以太网帧,导致线卡网络处理器重置,并且可以重复该过程来重置线卡,从而导致 DoS 情况。
该漏洞已在 IOS RX 软件版本 7.9.2 和 7.10.1 中得到解决。思科还发布了软件维护升级(SMU)来解决该错误。
这家科技巨头还修补了 CVE-2024-20327,这是一个影响 ASR 9000 系列路由器的以太网 PPP (PPPoE) 终止功能的高严重性 DoS 错误。对格式错误的 PPPoE 数据包处理不当会导致攻击者导致 ppp_ma 进程崩溃,从而导致 PPPoE 流量出现 DoS 状况。
思科表示,该问题影响路由器“在基于 Lightspeed 或 Lightspeed-Plus 的线卡上运行带有 PPPoE 终端的宽带网络网关 (BNG) 功能”。IOS RX 软件版本 7.9.21、7.10.1 和 7.11.1 包含针对此缺陷的补丁。
思科还宣布修复了 IOS XR 软件中的几个中等严重程度的漏洞,这些漏洞可能允许攻击者绕过保护、导致 DoS 情况或安装未经验证的软件映像。
这些缺陷已作为思科 2024 年 3 月半年度 IOS RX安全建议包的一部分得到解决,其中包括八项建议。
这家科技巨头没有提及任何这些漏洞正在被利用。
发表评论
您还未登录,请先登录。
登录