思科公司近日發(fā)布了軟件安全更新來(lái)解決幾款關(guān)鍵產(chǎn)品中的DDoS和任意命令執(zhí)行漏洞，包括Apache Struts開(kāi)發(fā)框架中的一個(gè)已知漏洞。

該公司發(fā)布了新版本的思科IOS XR軟件來(lái)修復(fù)處理分片數(shù)據(jù)包的問(wèn)題，攻擊者可能利用這個(gè)漏洞來(lái)在不同的思科CRS路由處理器卡上觸發(fā)拒絕服務(wù)攻擊。受影響的卡和修復(fù)的漏洞版本都列出在思科的公告中。

該公司還發(fā)布了思科身份服務(wù)引擎(ISE)的安全更新，該引擎是針對(duì)有線(xiàn)、無(wú)線(xiàn)和VPN連接的安全政策管理平臺(tái)。這個(gè)安全更新修復(fù)的漏洞可能被通過(guò)身份驗(yàn)證的遠(yuǎn)程攻擊者利用來(lái)對(duì)底層操作系統(tǒng)執(zhí)行任意命令，其修復(fù)另外一個(gè)漏洞則允許攻擊者繞過(guò)身份驗(yàn)證，并下載產(chǎn)品的配置或其他敏感信息，包括管理登錄憑證。

思科還發(fā)布了一個(gè)更新來(lái)修復(fù)已知的Apache Struts漏洞，這個(gè)漏洞涉及多款產(chǎn)品，包括ISE。Apache Struts是用來(lái)開(kāi)發(fā)基于Java的web應(yīng)用程序的流行的開(kāi)源框架。

這個(gè)漏洞(編號(hào)為CVE-2013-2251)位于Struts的DefaultActionMapper組件中，在7月份發(fā)布的Struts版本2.3.15.1中被Apache所修復(fù)。

這個(gè)新的思科更新將補(bǔ)丁修復(fù)被集成到Cisco Business Edition 3000、Cisco Identity Services Engine、Cisco Media Experience Engine (MXE) 3500系列和Cisco Unified SIP Proxy使用的Struts版本中。

“這個(gè)漏洞對(duì)思科產(chǎn)品的影響各有不同，主要取決于產(chǎn)品本身，”思科在其公告中稱(chēng)，“如果攻擊者在思科ISE、思科Unified SIP Proxy和Cisco Business Edition 3000上成功的利用這些漏洞，他們將可以在受感染系統(tǒng)上執(zhí)行任意代碼。”

該公司表示，在思科ISE和Cisco Unified SIP Proxy上執(zhí)行攻擊并不需要任何身份驗(yàn)證，但對(duì)Cisco Business Edition 3000執(zhí)行攻擊則需要攻擊者提供有效的登錄憑證或者誘使具有登錄憑證的用戶(hù)執(zhí)行惡意URL。

思科稱(chēng)：“對(duì)思科MXE 3500系列的漏洞的成功利用將允許攻擊者重定向用戶(hù)到不同的可能的惡意網(wǎng)站，然而，在這種產(chǎn)品上不太可能執(zhí)行任意命令。”

來(lái)自趨勢(shì)科技的安全研究人員在8月份報(bào)道稱(chēng)，某個(gè)國(guó)家的攻擊者正在通過(guò)利用幾個(gè)Apache Struts遠(yuǎn)程代碼執(zhí)行漏洞(包括CVE-2013-2251)的自動(dòng)化工具來(lái)攻擊運(yùn)行Apache Struts應(yīng)用程序的服務(wù)器。

利用Struts漏洞的地下攻擊工具的存在提高了使用受感染思科產(chǎn)品的企業(yè)的風(fēng)險(xiǎn)。

此外，在修復(fù)CVE-2013-2251后，Apache Struts開(kāi)發(fā)人員進(jìn)一步強(qiáng)化了最近發(fā)布的DefaultActionMapper組件。

Struts版本2.3.15.2發(fā)布于9月份，該版本對(duì)DefaultActionMapper的“action：”前綴(用來(lái)附加導(dǎo)航信息到表格內(nèi)的按鈕來(lái)緩解攻擊者繞過(guò)安全限制的問(wèn)題)進(jìn)行了一些修改。這個(gè)問(wèn)題被標(biāo)記為CVE-2013-4310。

Struts版本2.3.15.3發(fā)布于10月17日，該版本在默認(rèn)情況下關(guān)閉了“action：”前綴，并且增加了兩項(xiàng)新的設(shè)置："struts.mapper.action.prefix.enabled"和"struts.mapper.action.prefix.crossNamespaces"，這兩個(gè)設(shè)置可以用來(lái)更好地控制DefaultActionMapper的行為。

Struts開(kāi)發(fā)人員表示，強(qiáng)烈建議企業(yè)升級(jí)到Struts 2.3.15.3版本，但是開(kāi)發(fā)人員并沒(méi)有透露關(guān)于CVE-2013-4310的更多詳細(xì)信息，要到該補(bǔ)丁廣泛部署后才會(huì)發(fā)布。

目前尚不清楚，思科什么時(shí)候?qū)?huì)在其產(chǎn)品修復(fù)CVE-2013-4310，鑒于這個(gè)修復(fù)似乎涉及禁用對(duì)“action：”前綴的支持，如果這些產(chǎn)品中的Struts應(yīng)用程序使用“action：”前綴，思科公司可能需要重新修改一些代碼。(鄒錚編譯)