CISA发布了关于五个Apache HTTP服务器漏洞的第二份通知。包括:CVE-2021-33193, CVE-2021-34798, CVE-2021-36160, CVE-2021-39275, CVE-2021-40438。这些漏洞影响了思科的一系列产品。
思科在11月发布了关于这些漏洞的通知,解释说Apache软件基金会在9月16日披露了五个影响Apache HTTP 服务器(httpd) 2.4.48和更早版本的漏洞。
思科注意到,Apache HTTP 服务器(httpd)的mod_proxy模块中的一个漏洞可能允许未经身份验证的远程攻击者使httpd服务器将请求转发给任意服务器。
另一种方法允许攻击者通过向脆弱的设备发送精心设计的HTTP请求来利用漏洞,成功的攻击可以允许攻击者获取、修改或删除其他可能无法访问的服务上的资源。
思科在11月表示,产品安全事件响应团队“意识到有人试图利用CVE-2021-40438识别的漏洞。”
思科表示,受漏洞影响的产品包括思科云服务平台2100、思科广域应用服务(WAAS)、思科LoRaWAN无线网关、思科网真视频通信服务器(VCS)、思科高速公路系列、思科UCS管理器、思科网络保障引擎、 思科UCS主管裸金属代理,思科UCS中央软件,思科安全管理,思科Prime光学服务提供商,思科Prime基础设施,思科Prime协作配置,思科FXOS软件火力4100/9300系列设备,思科政策套件和思科火力管理中心。
该公司补充说,目前正在调查以下产品:思科DNA中心,思科统一通信域管理器,思科统一通信管理器IM & Presence服务(前CUPS)和思科智能网络全面护理-现场服务。
一些补丁现在已经可用,但其他补丁将在2022年2月、3月、5月和6月陆续发布。 管理员可以在思科通知中找到特定于产品的解决方案。
版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有