Cisco IOS publish-event event-manager功能任意命令执行漏洞(CVE-2015-6385)
发布日期:2015-12-01
更新日期:2015-12-02
受影响系统:
Cisco IOS 15.5(2)S
描述:
CVE(CAN) ID: CVE-2015-6385
Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。
在Cloud Services Router 1000V设备上,Cisco IOS 15.5(2)S及15.5(3)S的publish-event event-manager功能未正确验证事件管理器环境变量的用户输入,存在安全漏洞,通过管理员权限登录、修复设备的配置、调用构造的事件管理器脚本,攻击者利用此漏洞可以root级别权限执行任意命令,控制受影响系统。
<*来源:Cisco
链接:
*>
建议:
厂商补丁:
Cisco
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: