亚马逊旗下全食超市发布公告其POS终端遭黑客入侵，黑客可以获取未经授权的用户信用卡信息，试图窃取用户数据。该公司并为透露受影响的用户数量等详细信息。

来源：hackernews

Cisco设备安全绕过漏洞CVE-2017-12229

通过仔细研究思科修复的漏洞，我们发现CVE-2017-12229漏洞影响REST API，远程攻击者可利用该漏洞绕过验证，访问运行有漏洞版本IOS软件的网络设备上的Web用户界面。思科在安全公告中表示：

Cisco IOS XE Software 的 Web UI REST API 中存在漏洞。未经授权的远程攻击者可利用该漏洞绕过验证，访问受影响软件的 Web UI REST API 。 ”

“ 该漏洞是由于对受影响软件的 REST API 输入未进行充分验证造成的。通过向受影响设备发送恶意 API 请求，攻击者可利用该漏洞。成功利用该漏洞后，攻击者可绕过验证，访问受影响软件的 Web API 。 ”

思科已发布关于IOS操作系统的安全更新，修复了十几个严重漏洞。攻击者可利用这些漏洞远程控制公司交换器和路由器。公告详细内容如下

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-restapi

Cisco设备本地提权漏洞CVE-2017-12230

思科还修复了严重级别的CVE-2017-12230漏洞。该漏洞影响Web UI，经过认证的攻击者可利用该漏洞提升权限。这是因为通过web接口创建的新用户被默认提升权限。公告中表示：

“ 未经授权的远程攻击者可利用 Cisco IOS XE Software web UI中的漏洞，获得受影响设备的提升权限。 ”

“ 漏洞产生的原因是对通过受影响软件 Web UI 创建的新用户未进行正确的默认权限设置。通过利用受影响软件的 Web UI ，攻击者可利用该漏洞创建新用户，并以新用户身份登录 Web UI 。成功利用该漏洞后，攻击者可在受影响设备上提升自己的权限。 ”

公告完整内容如下

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-privesc

Cisco设备任意代码执行漏洞CVE-2017-12240

最后一个严重级别的漏洞是CVE-2017-12240，该漏洞可影响IOS和IOS XE软件中的DHCP Relay子系统。未经授权的远程攻击者可利用该漏洞执行任意代码，并完全控制目标系统。通过特制的DHCPv4数据包触发缓冲区溢出，攻击者还可利用该漏洞造成拒绝服务（DoS）条件。思科在安全公告中表示： “

该漏洞发生的原因是受影响软件的 DHCP Relay 子系统中存在缓冲区溢出条件。通过向受影响系统发送特制的 DHCPv4 数据包，攻击者可利用该漏洞。

成功利用该漏洞后，攻击者可执行任意代码并完全控制受影响系统或重载受影响系统，造成 DoS 条件。 ”

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-dhcp

思科共修复了11个严重漏洞 都是危及IOS或IOS XE

思科一共修复了11个影响IOS和/或IOS XE软件各个组件的严重漏洞。这些漏洞包括影响Catalyst路由器、集成服务路由器、工业以太网路由器、ASR 1000系列路由器和cBR-8 Converged broadband路由器的DoS漏洞。思科还修复了两个严重的验证绕过和证书验证漏洞。

来源：securityaffairs