我遇到过这思科咨询
它说:
此漏洞是在 Cisco IOS XR 软件版本 3.6.2 中引入的,并已通过 SMU hfr-k9sec-3.6.2.CSCtd74795 修复。3.6.2 中此修复的 SMU ID 为 AA03656。此漏洞已在 3.8.3、3.9.1 和 4.0.0 中为运行更高软件版本的客户修复。软件版本 3.7 不受此漏洞影响。
我正在尝试弄清楚一些事情,根据这一点,除非使用提到的 SMU 进行修复,否则 3.6.2 很容易受到攻击。
那么以下版本怎么样:
- 3.6.1
- 3.6.0
- 3.5.4 和更早版本...它们也容易受到攻击吗?
另外,它说它在 3.8.3 和 3.9.1 中得到了修复,为什么他们还提到 3.9.1,不是 3.9.1 > 3.8.3 吗,所以很明显它也在 3.9.1 中得到了修复?
答案1
你问的问题很合理。首先要了解的是,思科的软件开发经常在并行分支1中进行,具体到功能提交的位置。
在这种情况下,开发人员同时将易受攻击的代码提交到 3.6.2 和 3.7.1;该易受攻击的代码逃过了 Q/A 测试并在 CCO 上发布。在这些分支中发布的所有软件后2 3.6.2 和 3.7.1 存在漏洞3直到修复程序同时提交到 3.8.3、3.9.1 和 4.0.0
结束语:
- 请参阅 Jeff Atwood 的博客编码恐怖:软件分支和平行宇宙
- 版本 3.5.4、3.6.0、3.6.1 应该不存在漏洞,因为通知中未提及这些版本
- 版本 3.8.0、3.8.1、3.8.2 和 3.9.0 也包含易受攻击的代码