作者:思科Zach Spicer – 2018年3月28日
近日,思科发布了2018年首个思科IOS和IOS XE软件安全公告组合。需要注意的是,思科会按照预测的时间表,在每年3月和9月的第四个星期三,披露思科IOS软件和IOS XE软件中的漏洞。此次发布的思科IOS和IOS XE软件安全公告组合包括20项公告,其中披露了以下技术和特性中的漏洞:
双向转发检测(BFD)
Cisco Umbrella集成
命令行界面(CLI)
动态主机控制协议(DHCP)
面向VPN的集成多业务模块(ISM-VPN)
互联网组管理协议(IGMP)
互联网密钥交换(IKE)
互联网协议(IP)
链路层发布协议(LLDP)
服务质量(QoS)
简单网络管理协议(SNMP)
智能安装(SMI)
基于Web的用户界面(web UI)
基于区域的防火墙(ZBF)
在此,思科提醒广大客户务必查看思科事件响应。这份文件为该公告组合提供了所有安全资源,包括公告链接、CVSS评分和安全影响评级等。同时也请不要忘记思科IOS软件检查器,它能够帮助客户快速确定产品中是否存在此安全公告组合中披露的漏洞风险,并找出针对特定安全公告中披露的所有漏洞所推出的修复方案的最早版本(“第一次修复版本”)。思科会每日更新软件检查器数据,使其包含最新信息。该软件检查器现在支持对思科IOS XE软件版本的查询。这是应客户去年提出的要求,思科在短时间内集中开发后新加入的功能。
对于此次发布,思科表示:“思科始终将客户的安全放在第一位。当我们发现产品漏洞时,我们保持公开透明的态度,并且通过发布安全公告及时让客户了解具体情况和解决措施。截至目前,我们尚未发现任何对于此漏洞的恶意利用,此外,我们已经针对尽可能多的方面采取了应急方案。3月28日,思科发布了针对思科IOS和IOS XE的半年度补丁包,这整合了路由和交换操作系统的安全公告。这一按计划发布的披露确保了思科客户能够拥有有效资源,以实现能够解决这些漏洞的网络升级。3月发布的补丁包囊括了20条安全公告,详细描述了由安全研究人员、思科内部测试,客户支持案例等途径发现的的22条漏洞。截至目前,我们尚未发现任何针对这些漏洞的恶意利用。思科与安全业界保持着非常开放的合作关系,我们认为这能帮助我们更有效地保护客户的网络。我们的这一工作已经得到全球客户的高度认可。”
Zach Spicer作为项目经理,统筹这些组合披露的管理和交付,对整个过程所涉及到的工作和协作有着深入的了解。为推动更好地发布这些安全公告,思科专门设立了一个由多名事件经理和各种合作伙伴所组织成的专门团队,采用特殊的工具,历经数月的准备和数千次沟通,最终确定公告内容。所有这些努力最终促成了每年3月和9月第四个星期三提供的安全公告组合。
思科PSIRT致力于改进思科的披露流程,以更好地满足全球客户的需求。思科希望通过发布时间表、增强工具和发布其他“安全公告组合”,帮助企业提前进行规划,并确保有足够的资源可用于帮助分析、测试和修复环境中的这些漏洞。
下一次思科IOS和IOS XE软件安全公告组合预计在2018年9月26日发布。关于思科安全事宜,请访问思科安全门户,这是思科安全情报内容的主要出口和主页。
相关阅读: