首页 > 清静研究 > 清静转达 > 清静通告

思科修复严重的IOx误差清静通告

宣布时间 2019-09-27

误差编号和级别

CVE编号：CVE-2019-12648，，，，，，危险级别：严重，，，，，，CVSS分值：厂商自评：9.9，，，，，，官方未评定

影响版本

思科1000系列Connected Grid Routers (CGR 1000)和思科800系列Industrial Integrated Services Routers，，，，，，装置了客户机操作系统的IOS Software易受攻击版本

误差概述

思科宣布清静更新，，，，，，解决了思科IOS Software IOx应用程序情形中的一个严重误差。。。。。该误差可导致履历证的远程攻击者以根用户身份会见客户机操作系统 (Guest OS)。。。。。

当低权限用户请求会见本应被限制为治理员账户才华会见的客户机操作系统时，，，，，，会引发过失的基于角色的会见控制（RBAC）评估。。。。。攻击者能够使用低权限用户凭证验证客户机操作系统，，，，，，从而使用该误差。。。。。

客户机操作系统是包括Hypervisor、IOS和Guest OS映像的捆绑IOS映像的一部分。。。。。通过思科IOS Software映像包执行初始装置或软件升级的客户将在软件映像包装置历程中自动装置客户机操作系统。。。。。

治理员可在装备CLI中使用下令show iox host list detail审查装备上是否启用了客户机操作系统。。。。。思科在清静通告中提供了如下示例，，，，，，说明晰启用了客户机操作系统的下令输出效果：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

别的，，，，，，思科宣布了半年度Cisco IOS和IOS XE软件清静通告（补丁日）：https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-72547，，，，，，其中包括说明晰13个清静缺陷的12个思科清静通告，，，，，，所有的这13个误差均未高危误差，，，，，，CVSS评分为7.5到9.9。。。。。本文提到的误差也是其中的组成部分。。。。。思科已宣布解决所有这些误差的清静更新，，，，，，以阻止攻击者使用未修复装备“获取越权会见权限、举行下令注入攻击或引发拒绝效劳条件”。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

误差验证

暂无POC/EXP。。。。。

修复建议

现在厂商已宣布升级补丁以修复误差，，，，，，补丁获取链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-ios-gos-auth 。。。。。

参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-ios-gos-auth

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

思科修复严重的IOx误差清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线