关键漏洞信息 漏洞描述: - 漏洞名称: Cisco Secure Access Control System SQL Injection Vulnerability - 漏洞级别: Critical - 漏洞ID: cisco-sa-20150211-csacs - CVE ID: CVE-2015-0580 - CWE ID: 89 - 发布日期: 2015年2月11日 - 最后更新: 2015年3月19日 受影响产品: - 所有版本的Cisco Secure ACS在5.5版本前的补丁8之前都受到此漏洞的影响。 漏洞细节: - 在Cisco ACS的web框架代码中存在一个漏洞,允许认证的远程攻击者在ACS视图数据库之一上执行任意SQL查询。认证需要访问到一个ACS管理员帐户。 绕过方法: - 没有已知的绕过方法。 修复软件: - 客户在考虑软件升级时,建议咨询Cisco安全咨询、响应和通知档案(http://www.cisco.com/go/psirt)并查阅后续建议以确定暴露和完整的升级解决方案。在所有情况下,客户应确保升级的设备包含足够的内存,并确认当前硬件和软件配置将通过新版本继续得到支持。如果信息不清楚,建议客户联系Cisco技术援助中心(TAC)或其签约的维护提供者。 利用与公共发布: - Cisco产品安全事件响应团队(PSIRT)没有意识到任何此公告中所述漏洞的公共公告或恶意使用。 - 该漏洞由Lukasz Plonka来自ING Services Polska报告给Cisco。 历史修订: - 初始发布: 2015年2月11日 - 更新易受攻击版本号: 2015年3月10日 - 更新产品版本号确认不受影响: 2015年3月19日