当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Cisco Prime Service Catalog XML外部实体注入漏洞(CVE-2015-

     发表日期:2015-02-03 10:14:49

Cisco Prime Service Catalog XML外部实体注入漏洞(CVE-2015-0581)
BugTraq-ID:72350
CVE-ID:CVE-2015-0581
发布日期:2015-01-29
更新日期:2015-01-30
受影响系统:
Cisco Prime Service Catalog < 10.1
详细信息:

Cisco Prime Service Catalog提供了数据中心的自助服务门户、服务请求管理及IT服务目录。

Cisco Prime Service Catalog 10.1之前版本的XML解析程序配置存在安全漏洞,经过身份验证的远程攻击者利用此漏洞可访问主机操作系统上的敏感信息,或造成系统资源耗尽,导致拒绝服务。此漏洞源于没有正确处理XML外部实体。


来源:
Alexios Dimitriadis
参考信息:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150128-psc-xmlee
解决办法:
厂商补丁:

Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20150128-psc-xmlee)以及相应补丁:
cisco-sa-20150128-psc-xmlee:Cisco Prime Service Catalog XML External Entity Processing Vulnerability
链接:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150128-psc-xmlee