前言

Cisco Elastic Services Controller（ESC）是美国思科（Cisco）公司的一个开源的模块化系统，思科Elastic Services Controller软件的基于Web的身份验证功能中的漏洞可能允许未经授权的远程攻击者绕过身份验证，并在受影响的系统上以管理员权限执行任意操作。该漏洞是在1月21号发现的，目前，思科已将该漏洞命名为CVE-2018-0121，严重级别定义为“危急”。

攻击者可以通过向受影响的设备提交一个空的管理密码值来利用此漏洞，从而允许攻击者绕过认证并获得受影响软件的基于Web的服务门户的管理员权限，关于漏洞的详细信息你可点此查看。

易受攻击的产品

此漏洞影响思科Elastic Services Controller的3.0.0版本，如果要确定在系统上正在运行的是哪个Cisco Elastic Services Controller（ESC）版本，那你可以在ESC CLI中使用esc_version命令，然后在版本字段中引用输出的结果。以下就是显示了运行Cisco ESC软件版本4.0.0的系统的命令输出样本：

目前除了3.0.0版本外，还没有其他思科产品受此漏洞影响。思科已确认此漏洞不会影响3.0.0版本之前的产品。

缓解方法

目前没有解决此漏洞的解决方法，所以思科已发布免费的软件更新来解决此通报中描述的漏洞。

此外，客户只能下载拥有有效许可证的软件，这些软件是直接从思科购买的，或通过思科授权经销商或合作伙伴购买的。在大多数情况下，这将是以前购买的软件的维护升级。如果你用的是盗版或是免费的产品，那此次安全更新是不允许客户获得新的软件许可证的，所以你也就无法获得附加的软件功能集。

请注意，客户应确保要升级的设备有足够的内存，并确认当前的硬件和软件配置将继续支持新版本。