|
|
思科在DNA Center的3個(gè)關(guān)鍵安全補(bǔ)丁上發(fā)出警告
1.jpg (33.38 KB, 下載次數(shù): 664)
下載附件
DNA Center
2019-7-15 10:47 上傳
兩個(gè)最嚴(yán)重的安全問(wèn)題涉及思科數(shù)據(jù)中心網(wǎng)絡(luò)管理器(DCNM)
思科為其DNA中心用戶發(fā)布了三個(gè)“關(guān)鍵”安全警告 - 兩個(gè)普通漏洞評(píng)分系統(tǒng)評(píng)分為9.8分(滿分10分)���。
最糟糕的兩個(gè)問(wèn)題涉及思科數(shù)據(jù)中心網(wǎng)絡(luò)管理器(DCNM)�。 Cisco DNA Center通過(guò)使用軟件定義訪問(wèn)的策略控制訪問(wèn)�����,通過(guò)思科DNA自動(dòng)化自動(dòng)提供�,通過(guò)思科網(wǎng)絡(luò)功能虛擬化(NFV)虛擬化設(shè)備�����,并通過(guò)分段和加密流量分析降低安全風(fēng)險(xiǎn)�����。
在一項(xiàng)咨詢中�,思科表示,DCNM基于Web的管理界面中的漏洞可以讓攻擊者通過(guò)向受影響設(shè)備上可用的特定Web servlet發(fā)送特制的HTTP請(qǐng)求���,而無(wú)需知道管理用戶密碼���,從而獲得有效的會(huì)話cookie�。該漏洞是由于受影響的DCNM軟件上的會(huì)話管理不當(dāng)造成的�。
該漏洞影響版本11.1(1)之前的DCNM軟件版本。思科表示�,它已在DCNM軟件版本11.1(1)中完全刪除了受影響的Web servlet。
針對(duì)DCNM發(fā)布了另一個(gè)嚴(yán)重警告�,該漏洞允許攻擊者通過(guò)將特制數(shù)據(jù)發(fā)送到受影響設(shè)備上可用的特定Web servlet,在底層DCNM文件系統(tǒng)上創(chuàng)建任意文件���。
思科表示�,該漏洞是由受影響的DCNM軟件中的權(quán)限設(shè)置不正確引起的�。成功利用可能允許攻擊者在文件系統(tǒng)上寫入任意文件,并在受影響的設(shè)備上以root權(quán)限執(zhí)行代碼�。
思科表示,在DCNM軟件版本11.0(1)及更早版本中�,攻擊者需要通過(guò)DCNM基于Web的管理界面進(jìn)行身份驗(yàn)證才能利用此漏洞。
第三個(gè)漏洞--CVSS評(píng)分為9.3--定義了DNA Center中的漏洞���,該漏洞可能使未經(jīng)身份驗(yàn)證的相鄰攻擊者繞過(guò)身份驗(yàn)證并訪問(wèn)關(guān)鍵內(nèi)部服務(wù)���。攻擊者可以通過(guò)將未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備連接到為群集服務(wù)指定的子網(wǎng)來(lái)利用此漏洞�。思科表示���,一次成功的攻擊可能會(huì)讓攻擊者獲得內(nèi)部服務(wù)�����,而這些內(nèi)部服務(wù)并未加強(qiáng)外部訪問(wèn)�。
該公司表示�,該漏洞是由于對(duì)系統(tǒng)運(yùn)行所必需的端口的訪問(wèn)限制不足。
在這種情況下���,思科表示,無(wú)法升級(jí)到固定版本的客戶可以使用解決方法�。要協(xié)調(diào)變通方法的實(shí)施,請(qǐng)聯(lián)系思科技術(shù)支持中心(TAC)�。
思科表示已發(fā)布免費(fèi)軟件更新,以解決這些建議中描述的漏洞���。
本周的重要警告將在上周發(fā)布另一個(gè)關(guān)鍵的DNA中心通知�����。然后���,思科詳細(xì)說(shuō)明了一個(gè)關(guān)于CVSS評(píng)級(jí)為9.3的嚴(yán)重警告 - 其DNA中心軟件中的漏洞可能會(huì)讓未經(jīng)身份驗(yàn)證的攻擊者通過(guò)將未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備連接到指定用于集群服務(wù)的子網(wǎng)來(lái)利用這一弱點(diǎn)���。
思科表示,成功利用攻擊可以讓攻擊者獲得內(nèi)部服務(wù)�����,而這些內(nèi)部服務(wù)并未加強(qiáng)外部訪問(wèn)�。該漏洞是由于對(duì)系統(tǒng)運(yùn)行所必需的端口的訪問(wèn)限制不足,思科在內(nèi)部安全測(cè)試期間發(fā)現(xiàn)了這個(gè)問(wèn)題�,該公司表示。
此漏洞影響1.3之前的Cisco DNA Center軟件版本�����,并在1.3版本中修復(fù)���,之后發(fā)布�����。
思科寫道�����,系統(tǒng)更新可從思科云安裝�����,無(wú)法從Cisco.com上的軟件中心下載�����。要升級(jí)到Cisco DNA Center軟件的固定版本���,管理員可以使用該軟件的系統(tǒng)更新功能�����。 |
|
加載中...
發(fā)表于 2019-7-15 10:47:09
QQ好友和群
收藏