Cisco Small Business Switches 高危误差清静通告

宣布时间 2019-01-22

误差编号和级别


CVE编号:CVE-2018-15439,,,危险级别:高危,,, CVSS分值:厂商自评:9.8,,,官方:8.1


影响规模


受影响产品:

Cisco Small Business 200 Series Smart Switches

Cisco Small Business 300 Series Managed Switches

Cisco Small Business 500 Series Stackable Managed Switches

Cisco 250 Series Smart Switches

Cisco 350 Series Managed Switches

Cisco 350X Series Stackable Managed Switches

Cisco 550X Series Stackable Managed Switches 


不受影响产品:

Cisco 200E Series Smart Switches

Cisco 220 Series Smart Switches

以及运行思科IOS软件、思科IOS XE软件或思科NX-OS软件的装备


误差概述


Cisco Small Business 200 Series Smart Switches等都是美国思科(Cisco)公司的小型智能交流机装备。。 。Small Business Switches Software是一套运行在其中的交流机软件。。 。 多款Cisco产品的Small Business Switches软件保存清静误差。。 。远程攻击者可使用该误差绕过受影响的装备的用户身份验证机制。。 。


该误差与设惫亓特权用户账户等默认设置有关。。 。特权用户帐户是为初始登录而建设的,,,因而无法从思科小型商业交流机装备中删除。。 。


误差验证


暂无POC/EXP。。 。


修复建议


思科宣布的通告中有一个解决计划,,,即在装备设置中添加一个具有15级会见权限级别的用户帐户来禁用特权帐户。。 。用户可以将admin作为用户ID来设置新帐户,,,将会见权限设置为15级,,,并用一个重大密码替换强密码。。 。


现在还没有误差补丁,,,但思科正起劲修复误差。。 。


参考链接


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-sbsw-privacc

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15439