Cisco Expressway Series是美国思科(Cisco)公司的一款用于防火墙外访问设备的软件。该软件为防火墙外的用户提供了简单、高度安全的访问功能,帮助远程办公人员在他们选择的设备上更有效地工作。11月25日,思科公司发布了安全更新,修复了Cisco Expressway信息泄露漏洞。以下是漏洞详情:
漏洞详情
来源:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-Expressway-8J3yZ7hV
CVE-2020-3482 CVSS评分: 6.5 中
Cisco Expressway软件在NAT(TURN)服务器组件周围使用中继进行遍历中的漏洞可能允许未经身份验证的远程攻击者绕过安全控制并将网络流量发送到受限制的目的地。
该漏洞是由于受影响的软件中TURN服务器对特定连接信息的验证不正确造成的。攻击者可以通过将特制网络流量发送到受影响的软件来利用此问题。成功的利用可能使攻击者能够通过受影响的软件将流量发送到应用程序之外的目的地,从而可能使攻击者获得未经授权的网络访问从而导致信息泄露。
受影响产品
此漏洞影响了启用了TURN服务器功能并运行版本X12.6.3之前的软件的Cisco Expressway系列和Cisco TelePresence视频通信服务器(VCS)。
注:未启用TURN服务器功能的Cisco Expressway系列和Cisco TelePresence VCS系统不受此漏洞影响。
解决方案
思科已经发布安全更新,Cisco Expressway和Cisco TelePresence版本X12.6.3及更高版本包含此漏洞的修复程序。
以下是升级修复重要说明:
1.在考虑软件升级时,建议客户定期查阅Cisco产品的咨询(可从Cisco Security Advisories页面获得),以确定暴露程度和完整的升级解决方案。
2.在所有情况下,客户都应确保要升级的设备包含足够的内存,并确认新版本将继续正确支持当前的硬件和软件配置。如果信息不清楚,建议客户联系思科技术支持中心(TAC)或他们的合同维护提供商。
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x
