圖片來源: 

Cisco

思科周四發佈安全更新,以修補許多企業使用的視訊會議軟體WebEx Meetings的桌機版app中的權限升級漏洞

編號CVE-2018-15442的漏洞出在Windows桌機版WebEx Meetings app中處理更新服務指令的元件,未能對用戶參數充份驗證而導致。攻擊者可發送帶有變造的argument指令來開採漏洞,進而取得系管理員權限執行任意指令。

所幸攻擊者需具備本機存取權限才能發動此類攻擊,思科將之列為「重要」風險。不過若在Active Directory環境下,駭客仍可運用Windows作業系統的遠端管理工具遠端開採本漏洞。

思科已發佈更新程式來修補漏洞,呼籲用戶儘快安裝,並表示本漏洞並沒有暫時緩解的辦法。

思科同時針對libssh函式庫的驗證旁路漏洞發佈安全公告。編號CVE-2018-10933 的Libssh漏洞於上周揭露。該漏洞出現在0.6版本以上、0.7.6和0.8.4版以下的libssh函式庫。在有libssh漏洞的伺服器軟體中,攻擊者只要在SSH2_MSG_USERAUTH_REQUEST的地方改以SSH2_MSG_USERAUTH_SUCCESS呼叫即可騙過伺服器,即可在不需輸入任何帳密情況下通過驗證,進而登入系統。

由於大部份伺服器都是採用OpenSSH函式庫作為SSH驗證,使libssh函式庫漏洞未引起同等注意,也未傳出漏洞開採的行為。不過Red Hat Enterprise Linux 7 Extras受到影響

思科表示還在了解旗下哪些產品線受到影響。


Advertisement

更多 iThome相關內容