原标题:云安全日报210716:思科团队协作解决方案发现SSL证书验证漏洞,需要尽快升级
Cisco Webex Teams是思科公司一款团队协作应用程序。该程序包括视频会议、消息群发和文件共享功能。Cisco Webex Meetings是一套视频会议解决方案。Cisco Jabber是一套统一通信客户端解决方案。该方案提供了在线状态显示、即时消息、语音等功能。Cisco Intelligent Proximity solution是使用在其中的一套智能感应软件。
7月15日,思科发布了安全公告,思科团队协作解决方案发现SSL证书验证漏洞,建议尽快升级。以下是漏洞详情:
漏洞详情
CVE-2020-3155 CVSS评分:7.4 严重程度:高
Cisco Intelligent Proximity 解决方案的SSL实施中存在一个漏洞,如果产品满足易受攻击产品部分中描述的条件,则未经身份验证的远程攻击者可以查看或更改在Cisco Webex视频设备和Cisco协作端点上共享的信息。
该漏洞是由于在与Cisco Webex 视频设备或Cisco协作端点建立连接时收到的SSL服务器证书缺乏验证。攻击者可以通过使用中间人 (MITM)技术拦截受影响客户端和端点之间的流量,然后使用伪造的证书来冒充端点来利用此漏洞。根据端点的配置,利用漏洞可能允许攻击者查看其上共享的演示内容、修改受害者正在演示的任何内容或访问呼叫控制。
受影响产品
如果以下 Cisco 产品运行易受攻击的软件版本、启用了 Proximity 功能并用于连接到本地设备,则此漏洞会影响这些产品:
思科智能感应软件
思科Jabber统一通信客户端
思科Webex Meetings客户端
思科Webex Teams客户端
思科会议应用程序
解决方案
Cisco 已发布软件更新,仅针对 Cisco Intelligent Proximity 应用程序解决此漏洞。其他支持 Proximity功能的客户端解决方案尚未打补丁。为解决此漏洞而实施的解决方案依赖于主机指纹验证。为了防止利用此漏洞,Proximity客户端和collaboration端点都需要升级。
对于Proximity客户端
Cisco 在 Cisco Intelligent Proximity Application 版本 3.1.0 及更高版本中修复了此漏洞。
Cisco Webex视频设备和Cisco 协作端点
思科在思科协作终端软件版本 9.14.3 及更高版本中修复了此漏洞。
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x
