云安全日报210716：思科团队协作解决方案发现SSL证书验证漏洞,需要尽快升级

Cisco Webex Teams是思科公司一款团队协作应用程序。该程序包括视频会议、消息群发和文件共享功能。Cisco Webex Meetings是一套视频会议解决方案。Cisco Jabber是一套统一通信客户端解决方案。该方案提供了在线状态显示、即时消息、语音等功能。Cisco Intelligent Proximity solution是使用在其中的一套智能感应软件。

7月15日,思科发布了安全公告,思科团队协作解决方案发现SSL证书验证漏洞,建议尽快升级。以下是漏洞详情：

漏洞详情

来源：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-proximity-ssl-cert-gBBu3RB

CVE-2020-3155 CVSS评分:7.4 严重程度：高

Cisco Intelligent Proximity 解决方案的SSL实施中存在一个漏洞，如果产品满足易受攻击产品部分中描述的条件，则未经身份验证的远程攻击者可以查看或更改在Cisco Webex视频设备和Cisco协作端点上共享的信息。

该漏洞是由于在与Cisco Webex 视频设备或Cisco协作端点建立连接时收到的SSL服务器证书缺乏验证。攻击者可以通过使用中间人 (MITM)技术拦截受影响客户端和端点之间的流量，然后使用伪造的证书来冒充端点来利用此漏洞。根据端点的配置，利用漏洞可能允许攻击者查看其上共享的演示内容、修改受害者正在演示的任何内容或访问呼叫控制。

受影响产品

如果以下 Cisco 产品运行易受攻击的软件版本、启用了 Proximity 功能并用于连接到本地设备，则此漏洞会影响这些产品：

思科智能感应软件

思科Jabber统一通信客户端

思科Webex Meetings客户端

思科Webex Teams客户端

思科会议应用程序

解决方案

Cisco 已发布软件更新，仅针对 Cisco Intelligent Proximity 应用程序解决此漏洞。其他支持 Proximity功能的客户端解决方案尚未打补丁。为解决此漏洞而实施的解决方案依赖于主机指纹验证。为了防止利用此漏洞，Proximity客户端和collaboration端点都需要升级。

对于Proximity客户端

Cisco 在 Cisco Intelligent Proximity Application 版本 3.1.0 及更高版本中修复了此漏洞。

Cisco Webex视频设备和Cisco 协作端点

思科在思科协作终端软件版本 9.14.3 及更高版本中修复了此漏洞。

查看更多漏洞信息 以及升级请访问官网：

https://tools.cisco.com/security/center/publicationListing.x