在上周,思科发布了一系列关于各种漏洞修复的安全咨询。它还修复了两个“紧急(Critical)”漏洞,并为另外一个紧急漏洞提供了临时解决方案。但是,其中一份安全咨询看起来有些不同,因为它没有通知任何漏洞或补丁。相反,它解决了一个因QA验证步骤失败导致的错误。正如这份安全咨询所披露的那样,思科错误地在其两款软件产品中泄露了一段供其内部使用的“Dirty Cow(脏牛)”漏洞利用代码。
思科的QA失误漏掉了肮脏的Dirty Cow漏洞利用代码
正如思科在上周三发布的安全咨询中所解释的那样,该公司无意中在其软件产品中泄露了一个Dirty Cow的漏洞利用代码。该公司承认,这是由于QA验证步骤失败所导致的,导致其内部用于质量验证目的的漏洞利用代码被意外公布。
思科在其安全咨询中写道:“Cisco Expressway系列和Cisco TelePresence视频通信服务器(VCS)自动化软件构建系统的最终QA验证步骤出现了失误,这无意中导致思科在验证脚本中内部使用的一组漏洞利用代码包含在了软件映像中。这包括一个Dirty Cow漏洞(CVE-2016-5195)的利用代码。此QA验证步骤的目的是确保思科产品包含针对漏洞的修复程序。”
思科在一次内部安全测试期间发现了这一问题,随后公开披露了此事,并表示:“这个问题会影响Cisco Expressway系列和Cisco TelePresence视频通信服务器(VCS)映像版本X8.9到X8.11.3,但X8.9之前的版本不受影响。”
思科确认:这个问题不会导致软件本身产生安全风险
Dirty Cow漏洞(CVE-2016-5195)是一个特权提升漏洞,攻击者在通过远程入侵获取到低权限用户后,利用该漏洞可以在Linux服务器上实现本地特权提升,从而获取到服务器的root权限。在2017年,它被发现也影响到了Android系统。
思科表示,虽然不能因为CVE-2016-5195是一个老旧且已修复的漏洞而断言它就不再对用户构成安全威胁,但针对该漏洞的修复程序也包含在了携带漏洞利用代码的软件中。因此,遭泄露漏洞利用代码并不会影响到思科软件产品本身。
目前,携带漏洞利用代码的映像已经从Cisco Software Center中删除。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。