新闻快讯
< >

42款思科产品或受Apache Struts2远程代码执行漏洞(S2-053)影响

E安全9月12日讯 Apache Struts 9月7日发布安全公告,披露Apache Struts 2存在中危远程代码执行漏洞(S2-053),编号为CVE-2017-12611,当在Freemarker标签中使用表达式常量或强制表达式时使用请求值可能会导致远程代码执行漏洞(见下面的示例)。

在这两种情况下,值属性都使用可写属性,都会受到Freemarker的表达式的影响。

受影响版本

Struts 2.0.1 - Struts 2.3.33, Struts 2.5 - Struts 2.5.10

Apache Struts2远程代码执行漏洞(S2-053)或影响 42款思科产品-E安全

思科受影响产品列表

与许多厂商一样,思科很久以前就在Web接口上使用了开源Apache Struts。Switchzilla 9月9日宣布42款思科产品或受该漏洞影响。

得知消息后,思科PSIRT立即根据流程着手展开调查,并发布了安全公告,让客户及时了解哪些思科产品可能受到影响,以及哪些产品已经确认不存在相关漏洞。

思科目正在调查协作和网络管理产品、身份服务引擎(Identity Services Engine),一批思科Prime软件、语音和通信、视频和思科网真、以及托管服务等产品。调查的产品包括:

  • Cisco Unified MeetingPlace

  • Cisco WebEx Meetings Server

  • Cisco Data Center Network Manager

  • Cisco Identity Services Engine (ISE)

  • Cisco Digital Media Manager

  • Cisco MXE 3500 Series Media Experience Engines

  • Cisco Prime Central for Service Providers

  • Cisco Prime Collaboration Provisioning

  • Cisco Prime Home

  • Cisco Prime LAN Management Solution - Solaris

  • Cisco Prime License Manager

  • Cisco Prime Network Registrar IP Address Manager (IPAM)

  • Cisco Prime Network

  • Cisco Unified Intelligence Center

  • Cisco Emergency Responder

  • Cisco Enterprise Chat and Email

  • Cisco Hosted Collaboration Mediation Fulfillment

  • Cisco Hosted Collaboration Solution for Contact Center

  • Cisco Unified Communications Manager IM & Presence Service (formerly CUPS)

  • Cisco Unified Communications Manager

  • Cisco Unified Contact Center Enterprise

  • Cisco Unified E-Mail Interaction Manager

  • Cisco Unified Intelligent Contact Management Enterprise

  • Cisco Unified SIP Proxy Software

  • Cisco Unified Survivable Remote Site Telephony Manager

  • Cisco Unified Web Interaction Manager

  • Cisco Unity Connection

  • Cisco Virtualized Voice Browser

  • Cisco Enterprise Content Delivery System (ECDS)

  • Cisco Video Distribution Suite for Internet Streaming (VDS-IS)

  • Cisco Business Video Services Automation Software

  • Cisco Cloud Web Security

  • Cisco Deployment Automation Tool

  • Cisco Network Device Security Assessment Service

  • Cisco Network Performance Analysis

  • Cisco Partner Support Service 1.x

  • Cisco Prime Service Catalog

  • Cisco Services Provisioning Platform

  • Cisco Smart Net Total Care

  • Cisco Tidal Performance Analyzer

  • Cisco Unified Service Delivery Platform

  • Cisco WebEx Network-Based Recording (NBR) Management

思科在公告中指出,一旦调查有进展,思科会发布更新信息,披露受影响的产品。

由于远程攻击者可利用该漏洞执行代码,鉴于此,思科在公告中将这个漏洞标记为“Critical”。

Apache Struts2远程代码执行漏洞(S2-053)或影响 42款思科产品-E安全


我们将根据思科的安全漏洞策略确定修复程序优先级,并在针对受影响产品的修复程序发布后,更新此处提及的安全公告。

思科在公告中表示,一旦识别出易受攻击的产品便会发布公告,并会发布补丁或提出解决方案。

思科安全公告:

Apache Struts 2是一款业内公司广泛使用的开源软件,上周Apache软件基金会发布了两个安全公告,宣布其软件中存在四个漏洞。其中有两个漏洞的严重等级为紧急,另外两个分别为中和低。

  • Apache Struts 2中存在的3个漏洞(9月7日):直达链接请戳

  • 远程代码漏洞(9月9日):直达链接请戳

思科表示:

“思科始终将客户的安全放在首位。当我们的产品出现漏洞时,我们会发布安全公告,以确保客户了解相关情况,并知道如何修复漏洞。思科发现,上周披露的Apache Struts 2漏洞波及了行业中的多家厂商。虽然思科PSIRT的调查还在进行中,但思科已经率先发布了两个安全公告,让客户了解哪些产品可能受到影响。思科PSIRT尚未获知任何针对思科产品的公开声明或对这些漏洞的恶意利用。随着新信息的发布和软件修复版本的推出,我们将会持续更新安全公告。”

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。