Cisco Small Business 220 Series Smart Switches是(shì)思科(kē)（Cisco）公司的(de₽)一(yī)款小(xiǎo)型智能(néng)交換機(jī)設備。12月(yuè)6日(rì),思科(kē)發布了(le)安全更新，修∏複了(le)思科(kē)200系列小(xiǎo)型智能(néng)交換機(jī)鏈路(lù)層中發現(xiàn)的(de)協議(yì)漏洞。以下(xi à)是(shì)漏洞詳情：

漏洞詳情

來(lái)源：https://tools.cisco.com/security/center/contenΩt/CiscoSecurityAdvisory/cisco-sa-sb220-lldp-multivuls-mVRUtQ8T

1.CVE-2021-34779、CVE-2021-34780 CVSS評分(fēn): 8.8 嚴重程度: 高(gāo)&

Cisco Small Business 220 系列智能(néng)交換機(jī)的(de)鏈路(lù)層發現(xiàn)協議(≠yì)中的(de)多(duō)個(gè)漏洞可(kě)能(néng)允許未經身(shēn)份驗證的(de)相(xiàng)鄰攻擊₹者導緻受影(yǐng)響的(de)設備意外(wài)重新加載。

這(zhè)些(xiē)漏洞是(shì)由于處理(lǐ) LLDP 消息時(shí)邊界檢查不(bù)足造成的(de)↔。攻擊者可(kě)以通(tōng)過向目标設備發送惡意 LLDP 數(shù)據包來(lái)利用(yòng)這(zhè)些(xiē)漏洞。成功的(de)利用(yò¥ng)可(kě)能(néng)允許攻擊者在受影(yǐng)響的(de)設備上(shàng)執行(xíng)代碼或使其意外(wài)重新加載，從(cóng)而​導緻拒絕服務條件(jiàn)。

2.CVE-2021-34775、CVE-2021-34776、CVE-2021-34777、CVE-2021-34778 CVSS評分(fēn): 4.3 嚴重程度: 低(dī)

Cisco Small Business 220 系列智能(néng)交換機(jī)的(de)鏈路(lù)層發現(xiàn)協議(yì)中的(de)多(duō)個(gè)漏洞可(kě)能β(néng)允許未經身(shēn)份驗證的(de)相(xiàng)鄰攻擊者在受影(yǐng)響的(de)設備上(shàng)導緻 LLDP 內(nèi)存損壞。

這(zhè)些(xiē)漏洞是(shì)由于在處理(lǐ) LLDP 消息時(shí)缺少(shǎo)長(cháng)度驗證檢查。攻擊者可(kě)以通(tōng)過向目标設備發送惡意 LLDP€ 數(shù)據包來(lái)利用(yòng)這(zhè)些(xiē)漏洞。成功的(de)利用(yòng)可(kě)能(néng)允許攻擊者導緻對(duì)有(yǒu)效 LLDP 數(sh×ù)據包數(shù)據的(de)越界讀(dú)取，這(zhè)可(kě)能(néng)允許攻擊者破壞受影(y×ǐng)響設備的(de)內(nèi)部 LLDP 數(shù)據庫。

受影(yǐng)響産品

Cisco Small Business 220系列智能(néng)交換機(jī)1.2.1.2及更早版本

解決方案

Cisco Small Business 220系列智能(néng)交換機(jī)固件(jiàn)升級至1.2.1.5版本可(kě)修複

查看(kàn)更多(duō)漏洞信息 以及升級請(qǐng)訪問(wèn)官網：

https://tools.cisco.com/security/center/publicationListing.x