思科发布统一通信管理器等产品漏洞补丁

  思科公司发布了大规模的安全性公告,详细介绍了其主要软件和统一通信产品的10个独立安全漏洞。

  思科公司网站的安全咨询板块对漏洞的具体情况做了详细介绍,涉及到思科IOS操作系统IP服务登记协议的拒绝服务攻击(DOS)漏洞。思科宣称,当设备接收到被篡改的UDP数据包时,漏洞就会被触发。

  另一个漏洞来自于思科10000系列路由器,通过发送一系列的ICMP报文,攻击者可以使设备重载。思科对此发布了软件更新补丁,并在安全公告中介绍了如何保护路由器。

  思科Catalyst交换机也未能幸免。漏洞出现在思科IOS软件的智能安装功能上。未经身份验证的远程攻击者可能在受漏洞影响的设备上执行远程代码。思科已再次发布针对该问题的免费软件。

  此外,思科统一通信管理器有一个可由非法SIP消息触发的内存泄露漏洞。思科将为统一通信管理器发布免费软件更新,同时,官方网站中也提供了解决方法。

  思科IOS软件的数据链路交换功能中也发现一些漏洞。在IOS的NAT功能(网络地址转换)中存在多个针对网络会议目录、SIP、H.323以及IPv6协议栈的拒绝服务攻击(DoS)漏洞。

  而且,思科IOS及IOS XE软件的SIP协议实现中也存在DoS漏洞。软件更新将解决这些漏洞。同时,如果必须运行SIP的设备没有合适解决方法,思科公司建议采取一些缓解措施可以防止漏洞在攻击者前暴露。

  思科最后提到的漏洞涉及Jabber可扩展通信平台和思科统一在线状态监测产品。这些产品同样也存在一个DoS漏洞,未经身份验证的远程攻击者可以通过漏洞向受影响的服务器发送恶意XML。思科表示,这一漏洞暂时还没有解决方法。