云安全日报210923：思科IOSXE操作系统发现远程代码执行漏洞,需要

思科IOS和IOS XE是思科路由器，交换机等网络设备广泛使用的互联网操作系统日前，思科发布了一项安全更新，修复了思科IOS XE操作系统中发现的远程代码执行漏洞

漏洞详细信息

CVE—2021—34770 CVSS得分:10.0高风险。

针对Cisco Catalyst 9000系列无线控制器的Cisco IOS XE软件的无线接入点控制和配置协议处理中存在一个漏洞，该漏洞可能允许未经身份验证的远程攻击者以管理权限执行任意代码，或导致受影响设备的拒绝服务状态。

该漏洞是由验证CAPWAP数据包过程中的逻辑错误引起的攻击者可以通过向受影响的设备发送特制的CAPWAP数据包来利用此漏洞成功利用可能允许攻击者以管理权限执行任意代码，或者导致受影响的设备崩溃并重新加载，从而导致拒绝服务情况

受影响的产品。

如果以下思科产品:运行针对思科Catalyst 9000系列无线控制器的思科IOS XE软件的易受攻击版本，则该漏洞会影响这些产品。

1.适用于Catalyst 9300，9400和9500系列交换机的Catalyst 9800嵌入式无线控制器。

2.Catalyst 9800系列无线控制器。

3.Catalyst 9800—CL云无线控制器。

4.嵌入式无线控制器催化剂接入点

解决办法

思科发布了一个软件更新来解决上述漏洞以下是修理计划:的重要说明

1.支持已购买许可证的软件版本和功能集，并通过安装，下载，访问或以其他方式使用此类软件来升级它们。

2.可以维护和升级从思科或通过思科授权分销商或合作伙伴购买的具有有效许可证的软件。

3.直接从思科购买但未持有思科服务合同的客户，以及通过第三方供应商购买但未通过销售点获得维修软件的客户，应联系思科技术支持中心进行升级。

4.客户应拥有产品的可用序列号，并准备好提供上述安全公告的网址作为免费升级权利的证据。