思科在路由器和会议服务器软件中修补严重缺陷

思科系统本周发布了修补程序，可在其IOS软件中发布修补程序，用于网络设备和思科和WebEx会议服务器。

最严重的漏洞会影响思科网络融合系统（NCS）6000系列路由器的Cisco IOS XR软件。它可以导致拒绝服务条件，在非操作状态下留下受影响的设备。

未经身份验证的，远程攻击者可以通过在Secure Shell（SSH），安全复制协议（SCP）或安全FTP（SFTP）上启动到受影响的设备的许多管理连接来利用漏洞。

因为它可以影响一个关键设备的可用性，如路由器，因为思科已经评定了这种漏洞，这是高度严重性。没有解决方法，建议客户安装新发布的修补程序。

Cisco IOS XR软件中的另一个缺陷可能允许攻击者在具有root权限的操作系统上执行任意命令。此漏洞影响IOS XR软件版本6.0.1.base，并且被额定的中等严重性，因为攻击者需要被身份验证为本地用户。

拒绝服务漏洞也已在Cisco IOS软件中修复。它可以用于通过向它们发送特制的链接层发现协议（LLDP）数据包来崩溃运行软件的受影响版本的设备。利用不需要身份验证，但需要攻击者处于发送LLDP数据包的位置。

Cisco的ASR 5000系列载波类平台的固件，用于3G和LTE网络，接收了一个修复不安全的SNMP（简单网络管理协议）实现的更新。弱点将允许攻击者读取和修改设备配置。

思科的会议服务器也是本周的补码的焦点。Cisco会议服务器的HTTP接口中的一个漏洞，以前的Acano会议服务器，可能允许攻击者启动对界面用户的持久跨站点脚本（XSS）攻击。

攻击者可以通过欺骗用户点击恶意制作的链接来利用此缺陷，然后在Cisco会议服务器界面的上下文中可以在其浏览器中执行Rogue JavaScript代码。这可用于窃取身份验证cookie或强制执行未经授权的操作。

两个XSS漏洞也在Cisco WebEx会议服务器版本2.6中修复，其中一个在其管理界面中，一个在用户界面中。两者都可以通过欺骗用户访问专门制作的链接，并可能导致进一步的攻击。

Cisco WebEx会议服务器还收到了SQL注入漏洞的修补程序，可以允许攻击者从其数据库中提取信息和命令注入漏洞。