中心首页 » 安全公告 » 正文

Cisco IOS XE AAA远程代码执行漏洞 (CVE-2018-0315) 安全威胁通告

发布时间:2018-06-07

综述

 

当地时间66日,Cisco官方发布一则安全通告称其产品中用于认证、授权和记录(AAA)的服务存在一个严重漏洞(CVE-2018-0315)。通过该漏洞,攻击者在未授权的情况下可以远程在受影响的设备上执行任意代码,或者造成设备的重加载导致拒绝服务条件。

 

CVSS3.0 Base 9.8 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X

 

详细信息可参考:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-aaa

 

受影响的版本

 

以下版本在使用AAA作为登录认证时受影响:

 

Cisco IOS XE Software Release Fuji 16.7.1

Cisco IOS XE Software Release Fuji 16.8.1

 

不受影响的版本

 

Cisco IOS XE Software Release Fuji 16.7.2

Cisco IOS XE Software Release Fuji 16.8.1c

Cisco IOS XE Software Release Fuji 16.8.1s

Cisco IOS XE Software Release Fuji 16.9.1(预计今年7月发布)

Cisco IOS XE Software Release Fuji 16.8.2(预计今年9月发布)

 

解决方案

 

Cisco官方已经发布了对应的新版本修复了上述漏洞,用户应及时更新升级进行防护。同时,管理员可以通过限制设备的访问权限来确保只有受信任的来源可以访问设备。

 

详情可参考:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-aaa