思科发布了一个包17重要保安警告关于其统一计算系统中的认证漏洞,这些漏洞可能让攻击者侵入系统或导致拒绝服务问题。
具体来说,问题在于思科的UCS主管和Express,他们让客户构建私有云系统,并支持自动配置流程和编制,以优化和简化交付数据中心该公司表示。
大多数问题都集中在REST API的一个弱点上,该API被用于各种基于web的应用程序,也被影响到思科产品。思科表示,这些漏洞在常见漏洞评分系统中的得分为9.8分(满分10分)。
一些他的问题:
- 针对大数据的Cisco UCS Director和UCS Director Express的REST API存在漏洞,可以让未经身份验证的远程攻击者绕过身份验证,在受影响的设备上使用管理权限执行任意操作。该漏洞是由于访问控制验证不足造成的。攻击者可以通过向REST API发送精心设计的请求来利用这个漏洞。
- 针对大数据的Cisco UCS Director和UCS Director Express的REST API存在漏洞,允许通过身份验证的远程攻击者在底层操作系统上使用root权限执行任意代码。该漏洞是由于不正确的输入验证。思科表示,攻击者可以利用这一弱点,制作一个恶意文件并将其发送到REST API。
- 思科UCS董事和UCS主任快递的大数据的REST API中的漏洞可能允许未经身份验证的远程攻击者绕过认证和受影响的设备上执行API调用。该漏洞是由于访问控制验证不足造成的。一个成功的攻击可能允许攻击者与REST API交互,并导致受影响的设备上的潜在的拒绝服务(DoS)的情况下,思科表示。
思科表示,它已发布免费软件更新该地址的漏洞,并固定于UCS主任发行6.7.4.0和UCS主任Express,用于大数据发布3.7.4.0的漏洞。
Steven Seeley (mr_me)源煽动该公司表示,他们与趋势科技的“零日行动”(Zero Day Initiative)合作,泄露了尚未被利用的问题。
除了UCS产品,思科本周还就其IP电话发布了另外两项重要的安全警告。
首先,一个在思科IP电话的Web服务器漏洞思科表示,可能会让未经身份验证的远程攻击者以root权限执行代码,或导致受影响的IP电话重新加载,从而导致DoS状态。
此漏洞会影响以下思科产品,如果这些产品启用了web访问,并且运行的固件版本比该设备的第一个固定版本更早:
- IP电话7811,7821,7841,和7861台式电话
- IP电话8811,8841,8845,8851,8861,和8865台式电话
- 统一IP会议电话8831
- 无线IP电话8821和8821- ex
另一个IP电话问题涉及Cisco IP电话的web应用程序,该应用程序可以让攻击者向目标设备的web服务器发送精心设计的HTTP请求。成功利用该漏洞可以让攻击者远程执行具有root特权的代码,或者导致重新加载受影响的IP电话,从而导致DoS状态。
思科表示,该漏洞的存在是因为受影响的软件无法检查输入数据的边界。思科表示,他们已经发布了免费软件更新来解决这些问题。