Cisco Small Business 220 Series Smart Switches是思科(Cisco)公司的一款小型智能交换机设备。12月6日,思科发布了安全更新,修复了思科200系列小型智能交换机链路层中发现的协议漏洞。以下是漏洞详情:
漏洞详情
来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb220-lldp-multivuls-mVRUtQ8T
1.CVE-2021-34779、CVE-2021-34780 CVSS评分: 8.8 严重程度: 高
Cisco Small Business 220 系列智能交换机的链路层发现协议中的多个漏洞可能允许未经身份验证的相邻攻击者导致受影响的设备意外重新加载。
这些漏洞是由于处理 LLDP 消息时边界检查不足造成的。攻击者可以通过向目标设备发送恶意 LLDP 数据包来利用这些漏洞。成功的利用可能允许攻击者在受影响的设备上执行代码或使其意外重新加载,从而导致拒绝服务条件。
2.CVE-2021-34775、CVE-2021-34776、CVE-2021-34777、CVE-2021-34778 CVSS评分: 4.3 严重程度: 低
Cisco Small Business 220 系列智能交换机的链路层发现协议中的多个漏洞可能允许未经身份验证的相邻攻击者在受影响的设备上导致 LLDP 内存损坏。
这些漏洞是由于在处理 LLDP 消息时缺少长度验证检查。攻击者可以通过向目标设备发送恶意 LLDP 数据包来利用这些漏洞。成功的利用可能允许攻击者导致对有效 LLDP 数据包数据的越界读取,这可能允许攻击者破坏受影响设备的内部 LLDP 数据库。
受影响产品
Cisco Small Business 220系列智能交换机1.2.1.2及更早版本
解决方案
Cisco Small Business 220系列智能交换机固件升级至1.2.1.5版本可修复
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x
