Zero
Cisco ha inserito due gravi vulnerabilità che interessano Digitale di Architettura di Rete (DNA) Centro software.
Elettrodomestici in esecuzione Cisco DNA di Centro software prima Release 1.1.4, sono vulnerabili ad un bypass dell’autenticazione che potrebbe consentire a un utente malintenzionato di “prendere il controllo” della sua identità di funzioni di gestione.
Amministratori di rete possono utilizzare il DNA Center interfaccia di aggiungere nuovi dispositivi per la rete e la gestione della loro sulla base di criteri aziendali. DNA Center è parte di Cisco toolkit per internet-a base di networking.
Lax restrizioni di sicurezza sul tasto DNA funzioni di gestione media, un utente malintenzionato potrebbe inviare un valido documento di richiesta di gestione di un sistema interessato, e quindi modificare le attuali utenti del sistema o creare nuovi utenti, secondo Cisco.
Il difetto, che è calcolato come CVE-2018-0448, è considerato di livello critico e ha un Common Vulnerability Scoring System (CVSS) v 3.0 valutazione di 9.8 su 10.
VEDERE: UNA strategia vincente per la sicurezza informatica (ZDNet relazione speciale) | Scaricare il report in formato PDF (TechRepublic)
Si fissa in versione 1.1.4 e poi e dato che non ci sono soluzioni alternative, gli amministratori potranno necessità di aggiornamento di questi rilasci a risolvere il bug.
Gli amministratori possono controllare quale versione è in esecuzione accedendo al DNA interfaccia utente tramite un browser e cliccando poi su impostazioni e Su DNA Center.
Gli amministratori dovrebbero avere già aggiornato al DNA Center release 1.1.4 sulla base di un precedente advisory su privi di documenti, hardcoded le credenziali per l’account amministratore predefinito nella versione 1.1.3.
Cisco risolto anche un altro critico DNA Center difetto, CVE-2018-15386, che potrebbe dare a un utente malintenzionato remoto accesso diretto alle principali funzioni di gestione.
Un utente malintenzionato potrebbe sfruttare il bug collegando direttamente esposti DNA del Centro di servizi e da lì ottenere o modificare i file di sistema critici.
Questo bug è dovuto al insicuro configurazioni di default che influenzano il DNA Center release 1.1 di Nuovo, non ci sono soluzioni alternative per l’errore, in modo che gli amministratori, sarà necessario eseguire l’aggiornamento alla versione 1.2 e successive.
Entrambi i difetti sono stati trovati durante il test interno. Cisco non è a conoscenza di eventuali exploit in natura per i difetti.
Cisco ha anche risolto un difetto fondamentale che interessano Cisco Prime Infrastructure (PI) che potrebbe consentire a un utente malintenzionato remoto caricare qualsiasi file vogliono, senza che richiedono l’autenticazione. Il file può essere utilizzato per eseguire i comandi.
In PI, Trivial File Transfer Protocol (TFTP) è abilitato per impostazione predefinita e accessibile dall’interfaccia web, un utente malintenzionato potrebbe utilizzare per caricare un file dannoso.
Si consiglia di verificare la Cisco di consulenza per determinare se si sta eseguendo un corretto rilascio. Dispone anche di soluzioni alternative per alcune versioni.
Il difetto è stato segnalato da indipendente ricercatore di sicurezza Pedro Ribeiro, attraverso di Là della Sicurezza, SecuriTeam Sicuro programma di Divulgazione.
VEDI: sicurezza informatica in un’IoT e mobile world (ZDNet relazione speciale) | Scaricare il report in formato PDF (TechRepublic)
Al di là di note di Sicurezza nel suo report dettagliato su PI problema Ribeiro identificato due difetti, ma solo uno è stato risolto in Cisco patch.
“Il primo è un problema di file-upload di vulnerabilità che permette al malintenzionato di caricare ed eseguire il file JSP come Apache Tomcat utente”, la società note.
“Il secondo problema è un escalation di privilegi di root, bypassando l’esecuzione restrizioni in SUID di binario.
“La nostra valutazione forniti correzione risolve solo l’upload del file di parte dell’exploit, non il file di inclusione, la possibilità di eseguire codice arbitrario attraverso di essa o i privilegi di escalation problema che il prodotto ha.”
Cisco ha anche rilasciato le patch per 33 più alta e media gravità dei difetti che interessano WebEx, SD-WAN prodotti, e i suoi ASA dispositivi di sicurezza.
Precedente e relativa copertura
Cisco DoS attenzione: la Patch di questi 13 di elevata gravità fori in IOS, IOS XE ora
Cisco ha correzioni in settembre bundle per più di una dozzina di attacchi di tipo denial-of-service falle di sicurezza.
Cisco: Linux kernel FragmentSmack bug colpisce 88 dei nostri prodotti
Cisco elenco di prodotti con un kernel Linux di tipo denial-of-service difetto è in crescita.
Cisco: Abbiamo ucciso un altro critico hard-coded password di root di bug, patch urgente
Questa volta un 9.8/10-gravità hardcoded password è stato trovato in Cisco software di video sorveglianza.
Cisco difetto fondamentale avvertenza: Questi 10/10 gravità bug bisogno di patch ora
Cisco software per la gestione di software-defined networks ha tre criticità, vulnerabilità sfruttabili da remoto.
Cisco patch critiche Nexus difetti: Sono i vostri interruttori vulnerabili?
Avrete bisogno di guadare attraverso di Cisco avvisi di capire se il software che si sta eseguendo è vulnerabile o già risolto.
Cisco: Aggiorna ora per risolvere critica hardcoded password bug, l’esecuzione di codice remoto difetto
Cisco patch a due serie di autenticazione bug e Java deserializzazione difetto.
Cisco mette in guardia i clienti di critiche falle di sicurezza, di consulenza comprende Apache Struts
Il massiccio aggiornamento della protezione include una patch per il recente comunicato Apache bug, ma non tutti i prodotti possono essere ancora fissata.
Cisco aggiornamenti ASR 9000 bordo piattaforma di routing per portare gli utenti a 5G, multicloud mondo TechRepublic
Nuovo software per l’automazione, una nuova rete di processore, e un nuovo sistema operativo può aiutare i clienti Cisco a rendere il passaggio alla prossima generazione di rete.
Apple e Cisco aperto le loro forze per proteggere le aziende contro i rischi informatici CNET
Apple e Cisco unire le forze per proteggere le imprese dal rischio di minacce informatiche.
Argomenti Correlati:
Cisco
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0