Cisco Aironet Access Points 输入验证错误漏洞

CVE编号

CVE-2019-15261

利用情况

暂无

补丁情况

N/A

披露时间

2019-10-17

漏洞描述

Cisco Aironet接入点（AP）中的点对点隧道协议（PPTP）VPN数据包处理功能中的漏洞可能允许未经身份验证的远程攻击者重新加载受影响的设备，从而导致拒绝服务（DoS））状况。该漏洞是由于对通过受影响的AP的数据平面传递的通用路由封装（GRE）帧的验证不充分造成的。攻击者可以通过与易受攻击的AP关联，启动与任意PPTP VPN服务器的PPTP VPN连接并通过AP的数据平面发送恶意GRE帧来利用此漏洞。成功的利用可能使攻击者导致目标AP的内部进程崩溃，进而导致AP重新加载。 AP重新加载将导致与AP关联的客户端的DoS条件。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-pptp-dos

参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	cisco	aironet_1810_firmware	*	From (including) 8.4	Up to (excluding) 8.5.151.0
	运行在以下环境
	系统	cisco	aironet_1810_firmware	*	From (including) 8.8	Up to (excluding) 8.8.125.0
	运行在以下环境
	系统	cisco	aironet_1810_firmware	*	From (including) 8.9	Up to (excluding) 8.9.111.0
	运行在以下环境
	系统	cisco	aironet_1830_firmware	*	From (including) 8.4	Up to (excluding) 8.5.151.0
	运行在以下环境
	系统	cisco	aironet_1830_firmware	*	From (including) 8.8	Up to (excluding) 8.8.125.0
	运行在以下环境
	系统	cisco	aironet_1830_firmware	*	From (including) 8.9	Up to (excluding) 8.9.111.0
	运行在以下环境
	系统	cisco	aironet_1850_firmware	*	From (including) 8.4	Up to (excluding) 8.5.151.0
	运行在以下环境
	系统	cisco	aironet_1850_firmware	*	From (including) 8.8	Up to (excluding) 8.8.125.0
	运行在以下环境
	系统	cisco	aironet_1850_firmware	*	From (including) 8.9	Up to (excluding) 8.9.111.0
	运行在以下环境
	硬件	cisco	aironet_1810	-	-
	运行在以下环境
	硬件	cisco	aironet_1830	-	-
	运行在以下环境
	硬件	cisco	aironet_1850	-	-

攻击路径网络
攻击复杂度低
权限要求无
影响范围已更改
用户交互无
可用性高
保密性无
完整性无

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H CWE-ID 漏洞类型 CWE-20 输入验证不恰当

正文

Cisco Aironet Access Points 输入验证错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Security Network Protection GSKit信息泄露漏洞

PHP远程格式化字符串漏洞

PHP ‘serialize_function_call()’函数远程代码执行漏洞

PHP 'gdImageRotateInterpolated'函数拒绝服务漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]