思科公司近日發布了軟件安全更新來解決幾款關鍵產品中的DDoS和任意命令執行漏洞，包括Apache Struts開發框架中的一個已知漏洞。

該公司發布了新版本的思科IOS XR軟件來修復處理分片數據包的問題，攻擊者可能利用這個漏洞來在不同的思科CRS路由處理器卡上觸發拒絕服務攻擊。受影響的卡和修復的漏洞版本都列出在思科的公告中。

該公司還發布了思科身份服務引擎(ISE)的安全更新，該引擎是針對有線、無線和VPN連接的安全政策管理平臺。這個安全更新修復的漏洞可能被通過身份驗證的遠程攻擊者利用來對底層操作系統執行任意命令，其修復另外一個漏洞則允許攻擊者繞過身份驗證，并下載產品的配置或其他敏感信息，包括管理登錄憑證。

思科還發布了一個更新來修復已知的Apache Struts漏洞，這個漏洞涉及多款產品，包括ISE。Apache Struts是用來開發基于Java的web應用程序的流行的開源框架。

這個漏洞(編號為CVE-2013-2251)位于Struts的DefaultActionMapper組件中，在7月份發布的Struts版本2.3.15.1中被Apache所修復。

這個新的思科更新將補丁修復被集成到Cisco Business Edition 3000、Cisco Identity Services Engine、Cisco Media Experience Engine (MXE) 3500系列和Cisco Unified SIP Proxy使用的Struts版本中。

“這個漏洞對思科產品的影響各有不同，主要取決于產品本身，”思科在其公告中稱，“如果攻擊者在思科ISE、思科Unified SIP Proxy和Cisco Business Edition 3000上成功的利用這些漏洞，他們將可以在受感染系統上執行任意代碼。”

該公司表示，在思科ISE和Cisco Unified SIP Proxy上執行攻擊并不需要任何身份驗證，但對Cisco Business Edition 3000執行攻擊則需要攻擊者提供有效的登錄憑證或者誘使具有登錄憑證的用戶執行惡意URL。

思科稱：“對思科MXE 3500系列的漏洞的成功利用將允許攻擊者重定向用戶到不同的可能的惡意網站，然而，在這種產品上不太可能執行任意命令。”

來自趨勢科技的安全研究人員在8月份報道稱，某個國家的攻擊者正在通過利用幾個Apache Struts遠程代碼執行漏洞(包括CVE-2013-2251)的自動化工具來攻擊運行Apache Struts應用程序的服務器。

利用Struts漏洞的地下攻擊工具的存在提高了使用受感染思科產品的企業的風險。

此外，在修復CVE-2013-2251后，Apache Struts開發人員進一步強化了最近發布的DefaultActionMapper組件。

Struts版本2.3.15.2發布于9月份，該版本對DefaultActionMapper的“action：”前綴(用來附加導航信息到表格內的按鈕來緩解攻擊者繞過安全限制的問題)進行了一些修改。這個問題被標記為CVE-2013-4310。

Struts版本2.3.15.3發布于10月17日，該版本在默認情況下關閉了“action：”前綴，并且增加了兩項新的設置："struts.mapper.action.prefix.enabled"和"struts.mapper.action.prefix.crossNamespaces"，這兩個設置可以用來更好地控制DefaultActionMapper的行為。

Struts開發人員表示，強烈建議企業升級到Struts 2.3.15.3版本，但是開發人員并沒有透露關于CVE-2013-4310的更多詳細信息，要到該補丁廣泛部署后才會發布。

目前尚不清楚，思科什么時候將會在其產品修復CVE-2013-4310，鑒于這個修復似乎涉及禁用對“action：”前綴的支持，如果這些產品中的Struts應用程序使用“action：”前綴，思科公司可能需要重新修改一些代碼。(鄒錚編譯)