Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Cisco ACS
(4.0.1.27, 4.0.1.42, 4.0.1.44, 4.0.1.49, 4.1.1.1, 4.1.1.23, 4.1.1.23.3, 4.1.3.12, 4.1.4.13, 4.1.4.13.1, 4.1.4.13.10, 4.2.0.124, 5.0.0.21, 5.1.0.44, 5.2.0.26, 5.2.0.26.1, 5.2.0.26.10, 5.2.0.26.11, 5.2.0.26.2, 5.2.0.26.3, 5.2.0.26.4, 5.2.0.26.5, 5.2.0.26.6, 5.2.0.26.7, 5.2.0.26.8, 5.2.0.26.9, 5.3.0.40, 5.3.0.40.1, 5.3.0.40.2, 5.3.0.40.3, 5.3.0.40.4, 5.3.0.40.5, 5.3.0.40.6, 5.3.0.40.7, 5.3.0.6, 5.4.0.46.0a, 5.4.0.46.1, 5.4.0.46.2, 5.4.0.46.3, 5.4.0.46.4, 5.4.0.46.5, 5.4.0.46.6, 5.5.0.46.1, 5.5.0.46.2, 5.5.0.46.3, 5.5.0.46.4, 5.5.0.46.5, 5.5.0.46.6, 5.5.0.46.7, 5.6.0, 5.7.0)
Описание
Уязвимость, связанная с использованием библиотеки Apache Commons Collections (ACC), в интерфейсе сериализации объектов в решениях для организации совместной работы Cisco Collaboration и Social Media; клиентах рабочей станции (Endpoint Clients) и программом обеспечении клиента (Client Software); сетевых приложениях, службах и решении для ускорения (Acceleration); устройствах сетевой защиты и защиты содержимого (Network and Content Security Devices); интерфейсе для управления и настройки сети (Network Management and Provisioning); решениях для маршрутизации и коммутации на уровне предприятия или поставщика услуг (Routing and Switching - Enterprise and Service Provider); системе Unified Computing; устройствах для голосовых и унифицированных коммуникаций (Voice and Unified Communications Devices); устройствах для передачи видео, потокового вещания, проведения телеконференций и транскодирования (Video, Streaming, TelePresence, and Transcoding Devices); решении для беспроводной связи (Wireless); а также в службах Cisco Hosted Services позволяет позволяет злоумышленникам, действующим удаленно, выполнить произвольные команды, используя специально сформированный, сериализованный объект Java.
Как исправить
Используйте рекомендации производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization
Ссылки
Источник: CVE
Наименование: CVE-2015-6420
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6420
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization
Наименование: CVE-2015-6420
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6420
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization