思科本周发布的软件,以解决多个关键认证暴露在其数据中心网络管理器(DCNM)软件公司雷竞技电脑网站关系雷竞技电脑网站数据中心交换机。
DCNM是一个中央管理控制台数据中心开关和手柄多项核心职责,例如自动化,配置控制,流量策略管理和实时健康细节用于织物,设备和网络的拓扑结构的基础上的Cisco Nexus织物。
思科说,有三次曝光,它堪称对通用安全漏洞评分系统9.8了10年,在这可以让远程攻击者绕过认证并执行对易受攻击的设备管理权限任意行动DCNM认证机制。
思科说,漏洞是一个独立的彼此剥削不需要利用另一个。该公司表示,另外,由该漏洞的一个受影响软件版本可能不被他人影响。
关键的弱点包括:
REST API认证绕过漏洞:在A漏洞REST API思科DCNM的终点可能允许远程攻击者绕过认证。“该漏洞,因为静态加密密钥被安装之间共享。攻击者可以通过使用静态密钥制作一个有效的会话令牌利用此漏洞。一个成功的攻击可能允许攻击者通过REST API具有管理权限执行任意操作,”思科表示。
SOAP API认证绕过漏洞:在A弱点SOAP API思科DCNM的端点可以让未经认证的远程攻击者旁路认证受影响的设备上。和其他人一样脆弱,存在这个问题,因为静态加密密钥安装之间共享。漏洞可能允许通过SOAP API具有管理权限执行任意操作。
认证绕过漏洞:思科DCNM的基于Web的管理界面的弱点也可以让绕过认证远程攻击者在受影响的设备上。再次,该漏洞是由于和攻击者可以通过使用它们来对用户界面进行认证利用静态证书的存在,思科说明。“成功的利用可能允许攻击者从受影响的设备访问网络接口的特定部分,并获得某些机密信息。这些信息可能被用来进行针对系统的进一步攻击,”思科表示。
有没有解决办法,解决这些漏洞,但思科已经发布了DCNM软件版本该地址的问题,该公司表示。思科表示,它不知道任何公示或恶意使用DCNM漏洞的。
不太严重漏洞
有涉及REST和SOAP API的“高”到“中等”威胁等级包括许多额外DCNM漏洞:
REST API的SQL注入漏洞:具有管理权限的受影响的设备上执行任意SQL命令思科DCNM的REST API中的漏洞可能允许通过身份验证的远程攻击。该漏洞是由于不充分验证用户提供的输入到API和攻击者可以通过发送一个特制请求到API利用此漏洞,思科写道:。一个成功的攻击可以让攻击者视图的信息,他们无权查看,他们没有被授权作出,或底层操作系统,可能会影响系统的可用性内执行命令更改系统。
REST API路径遍历漏洞:思科DCNM的REST API中的漏洞可能允许一起进行目录遍历攻击管理权限的身份验证的远程攻击者在受影响的设备上。攻击者可以通过发送特制请求的API,这可能允许攻击者读取,写入,或在系统完全管理权限执行任意文件,利用此漏洞。曝光是由于用户提供的输入到API的验证不足,思科写道。
REST API命令注入漏洞:思科DCNM的REST API中的弱点可能允许与在应用DCNM管理特权的认证,远程攻击者底层操作系统上注入任意命令。攻击者可以通过发送特制请求API利用此漏洞可以让攻击者能够完全管理权限的设备上执行任意指令。该漏洞是由于用户提供的输入到API的验证不足,思科说明。
SOAP API SQL注入漏洞:思科DCNM的SOAP API中的弱点可能允许具有管理权限的验证,远程攻击者在受影响的设备上执行任意SQL命令。一个成功的攻击可能允许攻击者,他们没有被授权视图的视图信息,进行更改系统,他们没有被授权作出,或底层操作系统可能影响设备的可用性内执行命令。该问题是由于用户提供的输入到API的验证不足,思科写道。
SOAP API路径遍历漏洞:DCNM的SOAP API中的漏洞可能允许一起进行目录遍历攻击管理权限的身份验证的远程攻击者在受影响的设备上。一个成功的攻击可能允许攻击者读取,写入,或在系统完全管理权限执行任意文件。思科表示,漏洞是由于用户提供的输入到API的验证不足。
SOAP API命令注入漏洞:DCNM的SOAP API中的漏洞可能让用在DCNM应用注入底层操作系统上任意指令管理特权的认证,远程攻击者。攻击者可以通过发送特制请求API利用此漏洞。一个成功的攻击可以让攻击者能够完全管理权限的设备上执行任意指令。思科表示,漏洞是由于用户提供的输入到API的验证不足。
路径遍历漏洞:在DCNM的应用程序框架功能中的漏洞可能允许一起进行目录遍历攻击管理权限的身份验证的远程攻击者在受影响的设备上。攻击者可以通过发送特制请求应用程序利用此漏洞。一个成功的攻击可能允许攻击者读取,写入,或在系统完全管理权限执行任意文件。该漏洞是由于不充分验证用户提供的输入到应用程序框架的端点,思科声明。
思科已经发布软件更新该地址的漏洞。
思科称,它修复了所有思科DCNM软件版本11.3.1及更高版本的漏洞。