GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Cisco | Security Manager多个安全缝隙公告

颁布功夫 2020-11-17

0x00 缝隙概述

2020年11月16日，Cisco颁布安全公告，Security Manager中存在多个安全缝隙。缝隙追踪为CVE-2020-27125、CVE-2020-27130和CVE-2020-27131。

0x01 缝隙详情

Cisco Security Manager为Cisco安全治理器，它可将战术配置工作和针对Cisco安全数署的节造措施进行集中处置，从而高效地治理企业安全。

本次颁布的缝隙详情如下：

产品	CVE ID	缝霞称	评分	严沉水平
Cisco Security Manager	CVE-2020-27125	Cisco Security Manager静态证书缝隙	7.4	高危
	CVE-2020-27130	Cisco Security Manager蹊径遍历缝隙	9.1	严沉
	CVE-2020-27131	Cisco Security Manager Java反序列化缝隙	8.1	高危

影响领域：

Cisco Security Manager 4.21及之前版本。

Cisco Security Manager静态证书缝隙（CVE-2020-27125）

该缝隙是静态痛处没有提供足够的�；ぴ斐傻�，攻击者能够通过查看源代码来利用此缝隙。成功利用此缝隙的攻击者能够查看静态痛处等敏感信息，并利用痛处进行攻击。

缝隙详情如下：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-rce-8gjUz9fW

Cisco Security Manager蹊径遍历缝隙（CVE-2020-27130）

该缝隙是设备对要求中的目录遍历字符序列的验证不正确造成的。攻击者能够通过向受影响的设备发送恶意要求来利用此缝隙。成功利用此缝隙可能使攻击者在受影响的设备高低载肆意文件。

缝隙详情如下：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR

Cisco Security Manager Java反序列化缝隙（CVE-2020-27131）

Cisco Security Manager使用的Java反序列化职能中存在多个安全缝隙。这些缝隙使得用户提供的内容被不安全地反序列化。攻击者能够通过将恶意的序列化Java对象发送给受影响的系统上的特定侦听器来利用这些缝隙。成功利用此缝隙可能使攻击者在指标Windows主机上使用NT AUTHORITY\SYSTEM（内置系统治理账户）权限在设备上执行肆意号令。

缝隙详情如下：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-java-rce-mWJEedcD?

0x02 措置建议

目前Cisco已在Cisco Security Manager 4.22中建复了CVE-2020-27125和CVE-2020-27130，建议实时更新。

Cisco打算在Cisco Security Manager 4.23中建复CVE-2020-27131及其它Java反序列化职能中的缝隙。

下载地址：

https://software.cisco.com/download/find

0x03 参考链接

https://tools.cisco.com/security/center/publicationListing.x

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27131

0x04 功夫线

2020-11-16 Cisco颁布安全布告

2020-11-17 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】