紅著臉不好意思的思科推出一個(gè)補(bǔ)丁，皆因有些虛擬安全設(shè)備的SSH密鑰用了硬編碼的方法。

由于密鑰是與虛擬設(shè)備遠(yuǎn)程管理接口關(guān)聯(lián)的，攻擊者成功登錄后就可以在設(shè)備里到處轉(zhuǎn)悠。俗稱博格的思科日前宣布，旗下的網(wǎng)絡(luò)安全網(wǎng)關(guān)(WSAv)、電子郵件安全網(wǎng)關(guān)(ESAV)以及安全管理網(wǎng)關(guān)(SMAv)等虛擬設(shè)備在遠(yuǎn)程支持服務(wù)里用的是默認(rèn)密鑰。

這些虛擬設(shè)備的默認(rèn)授權(quán)SSH密鑰和SSH主機(jī)密鑰是硬編碼的。

與此有關(guān)的安全公告指，“一旦有心人與受影響的平臺(tái)上的管理接口建立了IP地址連接就可以利用這些產(chǎn)品的這個(gè)漏洞。無(wú)需額外的配置就可以利用該漏洞。”

思科為該漏洞推出了一個(gè)補(bǔ)丁(“cisco-sa-20150625-ironport SSH Keys Vulnerability Fix”)，并表示所有6月25日以前的版本需要打補(bǔ)丁進(jìn)行修復(fù)。該補(bǔ)丁刪除預(yù)裝密鑰并強(qiáng)制重置。

安全公告還表示，“2015年6月25日以后下載或升級(jí)的物理硬件設(shè)備，或虛擬設(shè)備無(wú)需打補(bǔ)丁。”

思科在給在WSAv、ESAV和SMAv鏡像打補(bǔ)丁期間關(guān)掉了下載，但稱新的版本會(huì)在“在幾天內(nèi)”公布，以期令客戶可以在規(guī)劃內(nèi)更新時(shí)間表里更新。