思科发布的软件来修复其SDN控制器的一个漏洞允许比潜入访问该系统作为root用户,可以访问根命令。
进入根命令将使攻击者访问控制器上的所有命令和文件。与该接入,攻击者随后可以修改系统中需要的话,包括授予和撤消访问权限的其它用户,包括用户根任何方式。
在Cisco的应用程序策略基础设施控制器(APIC)和在应用程序为中心基础设施(ACI)模式的Nexus 9000交换机的集群管理配置的漏洞可能允许经认证的,远程攻击者访问APIC作为根用户,根据最近发行的思科安全顾问。该漏洞是由于APIC文件系统,咨询国执行访问控制不当。
攻击者可以通过访问APIC的集群管理配置利用此漏洞。漏洞利用可能允许攻击者获得对APIC作为根用户并执行根级别的命令,该咨询的状态。
受影响的产品是前1.1上运行的软件的版本(1J),1.0(10-30)和1.0(40)APICS;和ACI模式的Nexus 9000交换机运行之前版本11.1(1J)和11.0(40)软件版本。
思科已经发布免费软件更新以解决该漏洞。目前没有任何变通办法是,在咨询的状态。
该漏洞是一个内部安全评估报告中对思科。思科表示,它不知道任何公示或恶意地使用它。
思科还发布了安全公告上在其成Videoscape递送系统的DoS漏洞;一个未经授权的密码更改漏洞在其Unified MeetingPlace的应用;拒绝服务漏洞的Cisco IOS TCP和TFTP服务器软件;和分片报文的DoS漏洞在ASR 1000边缘路由器。