Noll
Cisco har inkopplad två allvarliga sårbarheter som påverkar dess Digitala Nätverk Arkitektur (DNA), som Center.
Apparater igång Cisco ‘ s DNA-Center innan Release 1.1.4 är sårbara för autentisering bypass som kan tillåta en angripare att “ta kontroll” över sin identitet ledningsfunktioner.
Nätverket administratörer kan använda DNA-Center gränssnitt för att lägga till nya enheter i nätverket och hantera dem utifrån företagets strategier. DNA-Center är en del av Cisco ‘ s toolkit för internet-baserade nätverk.
Lax säkerhet restriktioner på viktiga DNA-management-funktioner gör att en angripare kan skicka en giltig id-hantering begäran till en dator och sedan ändra befintliga system användare eller skapa nya användare, enligt Cisco.
Felet, som är spårade som CVE-2018-0448, är klassad som kritisk och har en Gemensam Sårbarhet Scoring System (CVSS) v 3.0 betyg av 9.8 av 10.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Det är åtgärdat i och med version 1.1.4 och senare och eftersom det inte finns några lösningar, administratörer kommer att behöva uppdatera dessa utsläpp för att fixa felet.
Administratörer kan kontrollera vilken version de är igång genom att logga in på DNA användargränssnitt via en webbläsare och sedan klicka på inställningar och Om DNA-Center.
Administratörer bör redan har uppdaterat till DNA-Center släppa 1.1.4 baserad på en tidigare rådgivande om papperslösa, hårdkodad referenser standard för admin-kontot i och med version 1.1.3.
Cisco också fast en annan kritisk DNA-Center fel, CVE-2018-15386, som skulle kunna ge en angripare utifrån direkt tillgång till centrala ledningsfunktioner.
En angripare kan utnyttja bugg genom att ansluta direkt till utsatta DNA-Center-tjänster och därifrån erhålla eller ändra viktiga systemfiler.
Detta fel är på grund av osäkra standardkonfigurationer som påverkar DNA-Center release 1.1 Igen, det finns ingen lösning på felet, så admins kommer att behöva uppdatera för att släppa 1.2 och senare.
Både brister fanns vid interna tester. Cisco är inte medveten om någon utnyttjar i naturen för brister.
Cisco har också fixat en avgörande brist som påverkar Cisco Prime Infrastructure (PI) som kan låta en angripare ladda upp en fil som de vill utan kräver autentisering. Filen kan användas för att utföra kommandon.
På PI, Trivial File Transfer Protocol (TFTP) är aktiverat som standard och är tillgängliga från webbgränssnittet, som en angripare kan använda för att ladda upp en skadlig fil.
Kunder bör kontrollera Cisco: s rådgivande att avgöra om de kör fast release. Det har också lösningar för vissa utsläpp.
Felet rapporterades av oberoende säkerhet forskaren Pedro Ribeiro via Utanför Säkerhet är SecuriTeam Säker Avslöjande program.
SE: It-säkerhet i ett sakernas internet och mobila världen (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Utöver Säkerhet konstaterar i sin detaljerad rapport om PI fråga som Ribeiro identifierat två brister men bara en var fast i Cisco patch.
“Det första problemet är en fil-ladda upp sårbarhet som gör det möjligt för angriparen att ladda upp och köra JSP-filer som Apache Tomcat user”, konstaterar bolaget.
“Det andra problemet är en utökning av privilegier till root genom att kringgå utförande begränsningar i ett SUID-binära.
“Från vår bedömning förutsatt att fixa bara upp fil att ladda upp en del av den utnyttjar, inte inkluderings -, förmågan att exekvera godtycklig kod genom den eller de privilegier privilegier fråga som produkten har.”
Cisco har även släppt patchar för 33 fler hög – och medelstora svårighetsgrad brister som påverkar WebEx, SD-WAN produkter, och dess ASA säkerhet apparater.
Tidigare och relaterade täckning
Cisco DoS varning: Patch dessa 13 hög svårighetsgrad hål i IOS, IOS XE nu
Cisco har fixar i September bunt för över ett dussin denial-of-service-säkerhet brister.
Cisco: Linux-kärnan FragmentSmack bugg nu påverkar 88 av våra produkter
Cisco: s lista över produkter med en Linux-kärna denial-of-service-fel är växande.
Cisco: Vi har dödat en annan kritisk hårdkodade lösenord för root buggen, patchen snarast
Denna gång en 9.8/10-svårighetsgrad hårdkodade lösenord har hittats i Cisco video surveillance program.
Cisco kritiska fel varning: Dessa 10/10 svårighetsgrad buggar behöver patcha nu
Ciscos programvara för att hantera programvarudefinierade nätverk har tre kritiska, fjärrbasis sårbarheter.
Cisco patchar av kritisk Nexus brister: Är din växlar utsatta?
Du måste vada genom Cisco: s råd för att räkna ut om programvaran du kör är utsatta eller som redan har fastställts.
Cisco: Uppdatera nu för att åtgärda kritiska hårdkodade lösenord bugg, fjärrkörning av kod fel
Cisco fläckar två allvarliga autentisering buggar och en Java avserialisering fel.
Cisco varnar kunder för kritiska säkerhetsluckor, rådgivande innehåller Apache Struts
Den massiva uppdateringen även en patch för den nyligen offentliggjorda Apache fel-men inte alla produkter kommer att vara fast ännu.
Cisco uppdateringar ASR 9000 kanten routing plattform för att bära användare till 5G, multicloud världen TechRepublic
Nya automatisering, ett nytt nätverk processor och ett nytt operativsystem kommer att hjälpa Cisco kunder att göra övergången till nästa generations nätverk.
Apple och Cisco pool sin makt för att skydda företag från it-risker CNET
Apple och Cisco går samman för att skydda företag från att risken för it-hot.
Relaterade Ämnen:
Cisco
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0