漏洞出现在两个版本的思科的主要网络管理软件。其中三个影响思科'2020欧洲杯预赛数据中心网络管理(DCNM)和另一个影响web框架的思科Prime中心托管协作解决方案(高碳钢)保证。
的漏洞DCNM允许未经身份验证的远程攻击者公开文件组件,并访问受影响设备上的文本文件。具体来说,这些漏洞涉及信息泄露、远程命令执行和XML外部实体注入。
(构建块:思科通过鞭尾收购支撑其数据中心战略2020欧洲杯预赛]
在信息泄露漏洞中,Cisco Prime DCNM的DCNM- san服务器组件允许未经身份验证的远程攻击者泄露受影响系统上的任意文件内容。远程命令执行故障还会影响DCNM- san服务器组件,并允许未经身份验证的远程攻击者在托管主要DCNM应用程序的底层操作系统上执行任意命令。
外部实体注入漏洞允许未经身份验证的远程攻击者使用XML外部实体注入攻击以root权限访问底层操作系统上的任意文本文件。在处理传入请求时,XML外部实体引用和注入的标记可能会导致信息的公开,该建议说。
在6.2(1)之前,该漏洞影响所有版本的Cisco Prime DCNM。思科表示,他们已经发布了免费的软件更新来解决这些漏洞——包括在6.2(1)版中——但目前还没有解决这些漏洞的办法。思科还表示,不知道有任何公开声明或恶意使用该漏洞。
TippingPoint的零日计划向思科报告了远程命令执行信息披露漏洞。XML外部实体注入漏洞是由Ben Williams和NCC集团。
Williams还发现了网络框架的漏洞用于HCS保障的思科Prime中心。Cisco Prime center for HCS Assurance旨在帮助服务提供商提供服务统一communications-as-a-service,并允许从外部web客户端在TCP端口8443和9090上进行HTTPS连接。
此漏洞是由于不适当的用户身份验证和不充分的会话管理造成的,并可能允许未经身份验证的远程攻击者访问系统上的敏感信息。攻击者可以通过向web用户界面提交精心设计的HTTP请求来利用它,并显示敏感信息,包括用户凭证。
受影响的产品包括用于HCS保证版本1.0.1和1.1的Cisco Prime Central。思科表示,他们已经发布了一个免费的软件更新来解决这个漏洞,并修复了Cisco Prime Central的HCS安全版本9.1.1。目前还没有解决方案。
思科表示,它不知道有任何公开声明或恶意使用该漏洞。
更多来自思科子网:
思科公司(Cisco)内部人士宣称,该公司拥有“无惩罚”的架构
遵守所有 Twitter上的思科子网博客 。 Jim Duffy在推特上说遵循