Cisco FXOS Software缓冲区溢出漏洞

CVE编号

CVE-2020-3545

利用情况

暂无

补丁情况

N/A

披露时间

2020-09-04
漏洞描述
Cisco FXOS Software是美国思科(Cisco)公司的一套运行在思科安全设备中的防火墙软件。<br />
Cisco FXOS软件中的漏洞可能允许经过身份验证的具有管理凭据的本地攻击者导致缓冲区溢出情况。该漏洞是由于从特定文件解析的值的边界检查不正确所致。攻击者可以通过提供经过精心设计的文件来利用此漏洞,该文件在经过处理后可能会导致基于堆栈的缓冲区溢出。成功的利用可能使攻击者能够以root特权在底层操作系统上执行任意代码。攻击者需要具有有效的管理凭据才能利用此漏洞。

解决建议
厂商已发布了漏洞修复程序,请及时关注更新:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fxos-buffer-cSdmfWUt
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 amazon_2 httpd * Up to
(excluding)
2.4.48-1.amzn2
运行在以下环境
系统 amazon_AMI httpd24 * Up to
(excluding)
2.4.48-1.92.amzn1
运行在以下环境
系统 cisco fxos * Up to
(including)
2.3.1.58
运行在以下环境
系统 fedora_34 httpd * Up to
(excluding)
2.4.49-1.fc34
运行在以下环境
系统 fedora_35 httpd * Up to
(excluding)
2.4.49-1.fc35
运行在以下环境
系统 kylinos_aarch64_V10SP1 httpd * Up to
(excluding)
2.4.43-8.p01.ky10
运行在以下环境
系统 kylinos_x86_64_V10SP1 httpd * Up to
(excluding)
2.4.43-8.p01.ky10
运行在以下环境
系统 opensuse_Leap_15.2 apache2 * Up to
(excluding)
2.4.43-lp152.2.15.1
运行在以下环境
系统 opensuse_Leap_15.3 apache2 * Up to
(excluding)
2.4.43-3.22.1
运行在以下环境
硬件 cisco firepower_4110 - -
运行在以下环境
硬件 cisco firepower_4112 - -
运行在以下环境
硬件 cisco firepower_4115 - -
运行在以下环境
硬件 cisco firepower_4120 - -
运行在以下环境
硬件 cisco firepower_4125 - -
运行在以下环境
硬件 cisco firepower_4140 - -
运行在以下环境
硬件 cisco firepower_4145 - -
运行在以下环境
硬件 cisco firepower_4150 - -
运行在以下环境
硬件 cisco firepower_9300 - -
CVSS3评分
6.7
  • 攻击路径
    本地
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CWE-ID 漏洞类型
CWE-119 内存缓冲区边界内操作的限制不恰当
CWE-787 跨界内存写
阿里云安全产品覆盖情况