思科公司近日发布了软件安全更新来解决几款关键产品中的DDoS和任意命令执行漏洞,包括Apache Struts开发框架中的一个已知漏洞。
该公司发布了新版本的思科IOS XR软件来修复处理分片数据包的问题,攻击者可能利用这个漏洞来在不同的思科CRS路由处理器卡上触发拒绝服务攻击。受影响的卡和修复的漏洞版本都列出在思科的公告中。
该公司还发布了思科身份服务引擎(ISE)的安全更新,该引擎是针对有线、无线和VPN连接的安全政策管理平台。这个安全更新修复的漏洞可能被通过身份验证的远程攻击者利用来对底层操作系统执行任意命令,其修复另外一个漏洞则允许攻击者绕过身份验证,并下载产品的配置或其他敏感信息,包括管理登录凭证。
思科还发布了一个更新来修复已知的Apache Struts漏洞,这个漏洞涉及多款产品,包括ISE。Apache Struts是用来开发基于Java的web应用程序的流行的开源框架。
这个漏洞(编号为CVE-2013-2251)位于Struts的DefaultActionMapper组件中,在7月份发布的Struts版本2.3.15.1中被Apache所修复。
这个新的思科更新将补丁修复被集成到Cisco Business Edition 3000、Cisco Identity Services Engine、Cisco Media Experience Engine (MXE) 3500系列和Cisco Unified SIP Proxy使用的Struts版本中。
“这个漏洞对思科产品的影响各有不同,主要取决于产品本身,”思科在其公告中称,“如果攻击者在思科ISE、思科Unified SIP Proxy和Cisco Business Edition 3000上成功的利用这些漏洞,他们将可以在受感染系统上执行任意代码。”
该公司表示,在思科ISE和Cisco Unified SIP Proxy上执行攻击并不需要任何身份验证,但对Cisco Business Edition 3000执行攻击则需要攻击者提供有效的登录凭证或者诱使具有登录凭证的用户执行恶意URL。
思科称:“对思科MXE 3500系列的漏洞的成功利用将允许攻击者重定向用户到不同的可能的恶意网站,然而,在这种产品上不太可能执行任意命令。”
来自趋势科技的安全研究人员在8月份报道称,某个国家的攻击者正在通过利用几个Apache Struts远程代码执行漏洞(包括CVE-2013-2251)的自动化工具来攻击运行Apache Struts应用程序的服务器。
利用Struts漏洞的地下攻击工具的存在提高了使用受感染思科产品的企业的风险。
此外,在修复CVE-2013-2251后,Apache Struts开发人员进一步强化了最近发布的DefaultActionMapper组件。
Struts版本2.3.15.2发布于9月份,该版本对DefaultActionMapper的“action:”前缀(用来附加导航信息到表格内的按钮来缓解攻击者绕过安全限制的问题)进行了一些修改。这个问题被标记为CVE-2013-4310。
Struts版本2.3.15.3发布于10月17日,该版本在默认情况下关闭了“action:”前缀,并且增加了两项新的设置:"struts.mapper.action.prefix.enabled"和"struts.mapper.action.prefix.crossNamespaces",这两个设置可以用来更好地控制DefaultActionMapper的行为。
Struts开发人员表示,强烈建议企业升级到Struts 2.3.15.3版本,但是开发人员并没有透露关于CVE-2013-4310的更多详细信息,要到该补丁广泛部署后才会发布。
目前尚不清楚,思科什么时候将会在其产品修复CVE-2013-4310,鉴于这个修复似乎涉及禁用对“action:”前缀的支持,如果这些产品中的Struts应用程序使用“action:”前缀,思科公司可能需要重新修改一些代码。(邹铮编译)