思科报告称,其网络产品中存在多个安全漏洞。虽然这些安全漏洞并不严重,但是,恶意的人可以利用这些安全漏洞实施跨站脚本攻击、升级权限以及从本地或者远程实施拒绝服务攻击。除了一些超过产品寿命周期不再提供技术支持的产品之外,思科为大多数安全漏洞都提供了补丁。
据丹麦安全漏洞清除公司Secunia发表的安全公告称,第一个安全漏洞出现在WLSE 2.x(CiscoWorks无线局域网解决方案引擎)中。WLSE设备Web接口中的一个安全漏洞能够被用来在用户浏览器进程中执行任意的HTML和脚本代码。
另一个安全漏洞是在CLI应用程序中。利用这个安全漏洞能够让一个外壳账户获得根权限。恶意用户能够远程采取这些行动。思科建议用户把这个软件升级到2.13以上的版本。
第二组安全漏洞存在于“Cisco IOS XR”网络操作系统中。所有三个安全漏洞都与处理MPLS(多协议标签交换)数据包有关。恶意用户可以在本地利用这个安全漏洞实施拒绝服务攻击。思科已经修复了这个安全漏洞。
最后一个安全漏洞影响思科以太网用户解决方案引擎(ESSE)、CiscoWorks2000服务管理解决方案(SMS)、WLSE、思科主机解决方案引擎(HSE)和思科用户注册工具(URT)等产品。据Secunia公司称,恶以本地用户能够利用这个漏洞升级权限。思科已经修复了影响Cisco WLSE、Cisco HSE和Cisco URT等产品的安全漏洞。然而,Cisco ESSE和CiscoWorks SMS是超过寿命周期的产品,思科将不再提供补丁。
