思科发布CDP漏洞声明：已修复速更新！

美国时间2月5日，思科产品安全突发事件响应团队（PSIRT）主动披露了CDP（Cisco Discovery Protocol）部署过程中发现的漏洞，以及软件修补资讯和缓解措施。

思科产品安全突发事件响应团队（PSIRT）表示：“这些漏洞是由Armis的外部研究人员通告给我们的，思科感谢Armis团队与我们在协同披露方面的合作。我们已经提供修复这些漏洞的软件，目前尚未得到任何恶意利用此漏洞的报告。”

思科对安全问题保持高度透明，一旦发现任何安全问题，都主动公开并迅速处理，以确保客户能够第一时间了解并解决问题。 二十多年前，思科建立了产品安全突发事件响应团队（PSIRT），致力于清晰地传达有关安全漏洞的信息，以便可以与客户和合作伙伴紧密合作，减轻漏洞带来的影响。思科与安全研究团队保持着透明开放的关系，并认为这种协作对于保护客户的网络至关重要。

思科已经发布了修复这些漏洞的软件更新。下表提供了这些漏洞的摘要清单：

据悉，CDP（Cisco Discovery Protocol）是在思科设备上运行的第2层协议，使网络应用了解附近的直接连接设备。此协议通过发现这些设备、确定它们的配置方式，并允许使用不同网络层协议的系统相互了解，从而方便了对思科设备进行管理。

有关这些漏洞的一些事实如下：

◆ 思科产品安全突发事件响应团队（PSIRT）目前尚未得到任何恶意利用此漏洞的报告。

◆ 攻击者必须与受影响的设备（相邻的“第2层”）位于同一广播域或子网中，才能利用漏洞（如下图所示）。这些漏洞无法从互联网或不同的广播域/子网进行利用。

◆ 运行Cisco IOS和Cisco IOS-XE软件的设备不受这些漏洞的影响。

◆ Cisco ASA、Cisco Firepower 1000系列和Cisco Firepower 2100系列不受这些漏洞的影响。

◆ Cisco FXOS软件、Cisco IP摄像头固件、Cisco IP电话固件、Cisco IOS-XR软件、Cisco NX-OS软件和Cisco UCS Fabric Interconnects受其中一个或多个漏洞的影响。

◆ 在Cisco IOS XR软件中，CDP（Cisco Discovery Protocol）默认禁用。

◆ 在Cisco FXOS软件、Cisco IP摄像头固件、Cisco IP电话固件、Cisco NX-OS软件中，以及在Cisco UCS Fabric Interconnect上，CDP默认启用。

◆ 已知的安全最佳实践是在所有与不受信任网络相连接的接口上，禁用CDP。（按操作系统列出的安全最佳实践可在网络基础设施设备加固、取证和完整性保证流程中找到）。每个安全公告均提供有关如何确定您设备中是否启用了CDP以及如何将其禁用的详细信息。对于必须运行CDP以支持特定功能的产品，我们建议客户遵循网络分段最佳实践，以避免不受信任的设备发送CDP数据包，或使用可用的软件修补程序升级这些设备。