再不修复,远程登录机制就要消亡了。
如今已经困扰了思科设备长达三年之久的高危远程代码执行漏洞终于得到了修复。
研究人员Glafkos Charalambous所发现的远程登录安全漏洞(CVE-2011-4862)最初于2011年被FreeBSD项目所曝光。然而直到今年10月15号之前,该漏洞在思科公司的各设备上始终未能得到修复。
作为国际商学院IT经理,Charalambous在思科全部Web、电子邮件以及内容安全管理方案版本内的AsyncOS软件中都发现了这项漏洞。
思科还向客户发出警告,称如果需要在这些设备上启用远程登录功能,则意味着允许执行任意代码。
“潜藏在思科AsyncOS远程登录代码中的安全漏洞会允许非经授权的远程攻击者在受感染系统上执行任意代码,”思科公司在一份经过修订的建议资料中写道。
“该安全漏洞是由处理远程登录加密密钥时的边界检查欠缺所导致。”
“未经验证的远程攻击者能够通过向目标系统发送恶意请求利用这项安全漏洞,进而利用高权限在系统上执行任意代码。”
考虑到其易于利用的特性以及极高的危害与影响能力,这一安全漏洞被评为10分最高等级。
思科公司曾于2012年在IronPort系统的相关信息中描述过该安全漏洞可能造成的影响,现在则已经为那些无法快速安装补丁的用户提供了详尽的备用应对方法。