思科精睿系列交换机被曝高危漏洞，仅修复部分产品

受影响的具体产品是 Series Smart Switches、Series Managed Switches 和 Series Stackable ManagedSwitches。思科表示未发现漏洞遭利用的迹象，并已为其中某些受影响的交换机发布软件更新，而其它一些产品因已达生命周期，因此将无法收到补丁。

该缺陷的编号是 CVE-2020-3297，CVSS 评分是8.1分，是由使用弱熵生成的会话标识符值造成的。

思科在安全公告中指出，“攻击者可利用该漏洞，通过暴力攻击确定当前的会话标识符并复用该会话标识符接管正在进行的会话。”如此，攻击者就能攻破设备的认证保护措施并获得遭劫持会话账户的权限。如该受害者是管理员用户，则攻击者能获取设备的管理员权限。

具体受影响的产品是 Cisco 250 Series SmartSwitches、350 Series Managed Switches、350X Series StackableManaged Switches、550X Series Stackable Managed Switches、Small Business 200 SeriesSmart Switches、Small Business 300 Series Managed Switches 和Small Business 500 SeriesStackable Managed Switches。

思科已发布固件版本2.5.5.47中修复该漏洞。上述前四款产品将收到软件更新，而由于后四款产品已过软件维护周期，“虽然易受攻击”，但不会收到固件修复方案。

周三，思科还发布补丁，修复多个中危缺陷，影响的产品包括精睿 RV042 和 RV-042G 路由器、Digital NetworkArchitecture Center、身份服务引擎、Unified Customer Voice Portal、Unified Communications 产品和AnyConnect SecurityMobility Client。

6月早些时候，思科还修复了 Webex 网络会议应用中的三个高危漏洞，其中一个可导致未认证攻击者在受影响系统上远程执行代码。

https://threatpost.com/cisco-warns-high-severity-bug-small-business-switch/157090/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

    点个 “在看” ，加油鸭~