Nul
Cisco har sat to alvorlige sårbarheder, som påvirker dens Digital Network Architecture (DNA), Center-softwaren.
Apparater, der kører Cisco ‘ s DNA Center software, før Release 1.1.4 er sårbare over for en autentificering der kan gøre det muligt for en ekstern hacker at “tage fuldstændig kontrol” af sin identitet management funktioner.
Netværk administratorer kan bruge DNA-Center interface til at tilføje nye enheder til netværket, og styre dem baseret på virksomhedens politikker. DNA-Center er en del af Cisco ‘ s værktøjskasse for internet-baserede netværk.
Slap sikkerhed restriktioner på centrale DNA-management-funktioner betyder, at en hacker kan sende en gyldig identity management anmodning på et berørt system og derefter ændre det eksisterende system, brugere eller oprette nye brugere, ifølge Cisco.
De fejl, som er registreret som CVE-2018-0448, er vurderet som kritiske og har en Common Vulnerability Scoring System (CVSS) v 3.0 rating på 9.8 ud af 10.
SE: EN vindende strategi for cybersikkerhed (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
Det er rettet i version 1.1.4 og senere, og da der ikke er nogen løsninger, admins vil være nødvendigt at opdatere til disse udgivelser med at rette fejlen.
Administratorer kan kontrollere, hvilken udgave de er ved at løbe ved at logge ind på DNA-brugergrænseflade via en browser og derefter klikke på indstillinger og Om DNA-Center.
Admins skal har allerede opdateret til DNA-Center udgivelse 1.1.4 baseret på en tidligere rådgivende om udokumenterede, hardcodede legitimationsoplysninger for standard admin-konto, i version 1.1.3.
Cisco også fast en anden kritisk DNA-Center fejl, CVE-2018-15386, som kunne give en hacker direkte adgang til centrale ledelsesmæssige funktioner.
En angriber kunne udnytte fejlen ved direkte tilslutning til udsatte DNA-Center-tjenester og derfra opnå eller ændre vigtige systemfiler.
Denne fejl er på grund af usikre standard konfigurationer, som påvirker DNA-Center release 1.1 Igen, der er ingen løsning på fejlen, så admins vil være nødvendigt at opdatere til at frigive 1.2 og senere.
Begge fejl blev fundet under intern test. Cisco er ikke bekendt med nogen udnytter i naturen for fejl.
Cisco har også rettet en kritisk fejl, der påvirker Cisco Prime-Infrastruktur (PI), der kan gøre det muligt for en ekstern hacker at uploade en fil, som de ønsker, uden at det kræver godkendelse. Filen kan bruges til at udføre kommandoer.
På PI, Trivial File Transfer Protocol (TFTP) er aktiveret som standard, og er tilgængelig fra web-interfacet, som en hacker kan bruge til at uploade en skadelig fil.
Kunder bør kontrollere, at Cisco ‘ s rådgivende at afgøre, om de kører en fast udgivelse. Det har også løsninger til nogle udgivelser.
Fejlen blev rapporteret af uafhængige sikkerheds-forsker Pedro Ribeiro igennem Uden Sikkerhed er SecuriTeam Sikker Offentliggørelse program.
SE: Cybersikkerhed i en tingenes internet og mobil verden (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
Ud over Sikkerhed og bemærker i den detaljerede rapport om PI problem, der Ribeiro, der er identificeret to fejl, men kun en blev fastsat i Cisco ‘ s patch.
“Den første svaghed er et fil-upload-sårbarhed, der giver hackeren mulighed for at uploade og udføre JSP-filer, som Apache-Tomcat-bruger,” selskabet noter.
“Den anden svaghed er en rettighedsforøgelse til root ved at forbigå udførelse begrænsninger i en binære SUID.
“Fra vores vurdering er det forudsat fix kun fat på den fil, du uploader en del af fejlen, ikke den fil integration, evnen til at udføre vilkårlig kode gennem det eller de privilegier eskalerende problem, at produktet har.”
Cisco har også udgivet patches til 33 mere høj – og mellem-sværhedsgraden fejl, der påvirker WebEx, SD-WAN-produkter, og deres ASA sikkerhed apparater.
Tidligere og relaterede dækning
Cisco DoS advarsel: Patch disse 13 høj sværhedsgrad huller i IOS, IOS XE nu
Cisco har rettelser i sin September bundle for over en halv snes denial-of-service-sikkerhed mangler.
Cisco: Linux-kernen FragmentSmack bug nu påvirker 88 af vores produkter
Cisco ‘ s liste over produkter med en Linux-kerne denial-of-service-svaghed er voksende.
Cisco: Vi har dræbt et andet kritisk hard-kodet root-adgangskode bug, patch hurtigst muligt
Denne gang en 9.8/10-sværhedsgraden indbyggede password er blevet fundet i Cisco ‘ s video overvågning software.
Cisco kritiske fejl advarsel: Disse 10/10 sværhedsgraden fejl har brug for at lappe nu
Cisco ‘ s software til styring af software-definerede netværk har tre kritiske, sårbarheder som kan fjernudnyttes.
Cisco patches kritisk Nexus fejl: det Er dit skifter sårbare?
Du bliver nødt til at vade gennem Cisco ‘ s bulletiner at finde ud af, om software, du kører sårbare, eller allerede er fast.
Cisco: Opdater nu for at lave kritisk hardcodede adgangskode bug, fjernkørsel af programkode fejl
Cisco patches to alvorlige godkendelse fejl og en Java deserialization fejl.
Cisco advarer kunderne om kritiske sikkerhedshuller, rådgivende indeholder Apache Struts
Den massive sikkerhedsopdatering omfatter en patch for nyligt offentliggjort Apache fejl — men det er ikke alle produkter vil blive fastsat endnu.
Cisco opdateringer ASR 9000 kant routing platform til at bære brugere til 5G, multicloud verden TechRepublic
Nye automatiserings-software, et nyt netværk processor, og et nyt operativsystem vil hjælpe Cisco kunder med at gøre overgangen til den næste generation af netværk.
Apple og Cisco swimmingpool deres magt til at beskytte virksomheder mod cyber-risici CNET
Apple og Cisco forene deres kræfter for at beskytte virksomhederne mod risikoen for cyber trusler.
Relaterede Emner:
Cisco
Sikkerhed-TV
Data Management
CXO
Datacentre
0