4月18日,思科对外公布了Cisco WebEx客户端远程代码执行漏洞的安全公告,并且为客户提供了解决此漏洞的软件更新。目前,思科产品安全突发事件响应团队(PSIRT)未收到有关本公告中所述漏洞的任意公开声明或恶意使用情况。

思科表示:“思科始终秉持公开透明的原则,当我们的产品可能存在问题时,积极为客户提供支持。我们始终致力于利用我们的技术消除各种问题。思科始终将客户的安全放在第一位。当发现存在产品漏洞时,我们在第一时间发布安全公告,确保客户了解漏洞详情和修复方法。思科与安全业界保持着非常开放的合作关系,我们认为这能帮助我们更有效地保护客户的网络。我们的这一工作已经得到全球客户的高度认可。”

Cisco WebEx Business Suite客户端、Cisco WebExMeetings和Cisco WebEx Meetings Server发现存在漏洞,可能允许经过身份验证的远程攻击者在目标系统上执行任意代码。

该漏洞是由于Cisco WebEx客户端的输入验证不足造成的。攻击者可以通过客户端的文件共享功能向与会者提供恶意Flash(.swf)文件,从而利用此漏洞,实现在目标用户的系统上执行任意代码的目的。

思科已经发布了解决此漏洞的软件更新。

受影响的产品

此公告中披露的漏洞会影响客户在访问WebEx会议时安装的客户端。以下客户端版本的Cisco WebEx Business Suite(WBS30、WBS31和WBS32)、CiscoWebEx Meetings和Cisco WebEx Meetings Server会受到此公告中所述漏洞的影响:

  • T31.23.2之前的Cisco WebEx Business Suite(WBS31)客户端版本

  • T32.10之前的Cisco WebEx BusinessSuite(WBS32)客户端版本

  • 采用T32.10之前的客户端版本的Cisco WebEx Meetings

  • 2.8 MR2之前的Cisco WebEx MeetingsServer版本

要确定Cisco WebEx Business Suite站点是否在运行受影响的WebEx客户端版本,用户可以登录其Cisco WebEx会议站点,转至Support > Downloads(支持>下载)部分。WebEx客户端版本将显示在AboutMeeting Center(关于Meeting Center)下的页面右侧。有关详细信息,请参阅“已修复软件”部分。

或者,用户可以从Cisco WebEx会议客户端查看Cisco WebEx会议客户端的版本信息。通过选择Help > About Cisco WebEx Meeting Center(帮助 > 关于Cisco WebEx Meeting Center),可以查看Windows和Linux平台上Cisco WebEx会议客户端的版本信息。通过选择Meeting Center > About CiscoWebEx Meeting Center(会议中心 > 关于Cisco WebEx Meeting Center),可以查看Mac平台上CiscoWebEx会议客户端的版本信息。

Cisco WebEx软件更新在客户端版本中累积。例如,如果客户端版本30.32.16得到修复,版本30.32.17将包含此修复程序。CiscoWebEx站点管理员可以查看辅助版本命名规则,例如T30 SP32 EP 16表明服务器正在运行客户端版本30.32.16。

注意:没有收到自动软件更新的客户可能是因为所运行的CiscoWebEx版本已超过软件维护截止日期,此时请联系客户支持人员。

目前尚没有其他已知思科产品受到此漏洞的影响。

详细信息

Cisco WebEx Business Suite(WBS)会议服务和Cisco WebEx Meetings是由Cisco WebEx管理和维护的托管多媒体会议解决方案。Cisco WebEx Business Suite包括Cisco WebEx Event Center、CiscoWebEx Meeting Center、Cisco WebEx Support Center和Cisco WebEx Training Center。Cisco WebEx Meetings Server是一款多媒体会议解决方案,客户可以在其私有云中进行托管。客户可下载WebEx客户端应用,参加在不同Cisco WebEx Center上举行的会议。

利用此漏洞,攻击者可以在运行受影响客户端的系统上远程执行代码。

要利用此漏洞,客户端应用会要求会议与会者打开恶意Flash文件。攻击者可能会通过客户端的文件共享功能将恶意.swf文件直接提供给用户,以利用此漏洞。

解决方案

用户可以使用Meeting Services Removal Tool(适用于Microsoft Windows用户),或Mac WebEx MeetingApplication Uninstaller(适用于Apple Mac OS X用户),从系统中完全删除所有WebEx软件。用户可以从针对思科Spark、WebEx和Jabber的Cisco Collaboration Help文章中,下载这些工具:https://collaborationhelp.cisco.com/article/en-us/WBX000026396。

要从基于Linux或UNIX的系统中删除WebEx软件,请按照针对思科Spark、WebEx和Jabber的思科Collaboration Help文章中所列的步骤进行:https://collaborationhelp.cisco.com/article/en-us/WBX28548。

已修复版本

以下客户端版本的CiscoWebEx Business Suite(WBS31和WBS32)、CiscoWebEx Meetings和Cisco WebEx Meetings Server已解决此公告中所述的漏洞:

  • T31.23.2及之后的Cisco WebEx BusinessSuite(WBS31)客户端版本

  • T32.10及之后的Cisco WebEx BusinessSuite(WBS32)客户端版本

  • T32.1及之后的CiscoWebEx Meetings客户端版本

  • 2.8 MR2及之后的Cisco WebEx MeetingsServer版本

要确定CiscoWebEx会议站点是否在运行受影响的WebEx客户端版本,用户可以登录其Cisco WebEx会议站点,并转至Support > Downloads(支持>下载)部分。WebEx客户端版本将显示在About Meeting Center(关于Meeting Center)下的页面右侧。Cisco WebEx软件更新在客户端版本中累积。例如,如果客户端版本30.32.16得到修复,版本30.32.17将包含此更新软件。

注意:WebEx Business Suites处于锁定状态的用户需要与WebEx支持部门联系,以便为其WebEx站点安装适当的修补程序。

声明:本文来自云头条,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。