[[121808]]

再不修復(fù)，遠(yuǎn)程登錄機(jī)制就要消亡了。

如今已經(jīng)困擾了思科設(shè)備長(zhǎng)達(dá)三年之久的高危遠(yuǎn)程代碼執(zhí)行漏洞終于得到了修復(fù)。

研究人員Glafkos Charalambous所發(fā)現(xiàn)的遠(yuǎn)程登錄安全漏洞(CVE-2011-4862)最初于2011年被FreeBSD項(xiàng)目所曝光。然而直到今年10月15號(hào)之前，該漏洞在思科公司的各設(shè)備上始終未能得到修復(fù)。

作為國(guó)際商學(xué)院IT經(jīng)理，Charalambous在思科全部Web、電子郵件以及內(nèi)容安全管理方案版本內(nèi)的AsyncOS軟件中都發(fā)現(xiàn)了這項(xiàng)漏洞。

思科還向客戶(hù)發(fā)出警告，稱(chēng)如果需要在這些設(shè)備上啟用遠(yuǎn)程登錄功能，則意味著允許執(zhí)行任意代碼。

“潛藏在思科AsyncOS遠(yuǎn)程登錄代碼中的安全漏洞會(huì)允許非經(jīng)授權(quán)的遠(yuǎn)程攻擊者在受感染系統(tǒng)上執(zhí)行任意代碼，”思科公司在一份經(jīng)過(guò)修訂的建議資料中寫(xiě)道。

“該安全漏洞是由處理遠(yuǎn)程登錄加密密鑰時(shí)的邊界檢查欠缺所導(dǎo)致。”

“未經(jīng)驗(yàn)證的遠(yuǎn)程攻擊者能夠通過(guò)向目標(biāo)系統(tǒng)發(fā)送惡意請(qǐng)求利用這項(xiàng)安全漏洞，進(jìn)而利用高權(quán)限在系統(tǒng)上執(zhí)行任意代碼。”

考慮到其易于利用的特性以及極高的危害與影響能力，這一安全漏洞被評(píng)為10分最高等級(jí)。

思科公司曾于2012年在IronPort系統(tǒng)的相關(guān)信息中描述過(guò)該安全漏洞可能造成的影響，現(xiàn)在則已經(jīng)為那些無(wú)法快速安裝補(bǔ)丁的用戶(hù)提供了詳盡的備用應(yīng)對(duì)方法。