思科发布了一套17个重要的安全警告关于它的统一计算系统的身份验证漏洞,可以让攻击者入侵系统或服务故障原因拒绝。
具体的问题是与思科的UCS主任和快递这让客户建立自动化的供应流程和业务流程优化和简化的交付私有云系统和支持数据中心资源,该公司表示。
大多数周围的REST API中的弱点问题为中心的 - 这是在各种基于Web的应用程序中使用 - 在受影响的思科产品。思科称,这些漏洞有9.8得分10对通用安全漏洞评分系统。
一些他的问题:
- 思科UCS董事和UCS主任快递的大数据的REST API中的漏洞可能允许未经身份验证的远程攻击者绕过认证和受影响的设备上执行具有管理权限执行任意操作。此漏洞是由于访问控制验证不足造成的。攻击者可以通过发送特制请求REST API利用此漏洞。
- 思科UCS董事和UCS主任快递的大数据的REST API中的漏洞可能允许经过身份验证的远程攻击者对底层操作系统上使用root权限执行任意代码。该漏洞是由于不当的输入验证。攻击者可能利用此弱点通过制定一个恶意文件,并将其发送到REST API,思科表示。
- Cisco UCS Director和UCS Director Express for Big Data的REST API中的漏洞,可以让未经身份验证的远程攻击者绕过身份验证,在受影响的设备上执行API调用。此漏洞是由于访问控制验证不足造成的。Cisco说,一个成功的攻击可能允许攻击者与REST API交互,并在受影响的设备上导致一个潜在的拒绝服务(DoS)条件。
思科称,它已经发布免费软件更新解决了漏洞,修复了UCS Director Release 6.7.4.0和UCS Director Express for Big Data Release 3.7.4.0的漏洞。
史蒂芬西利(mr_me)的来源煽动趋势科技零时差项目合作,泄露的问题,还没有被开发,该公司表示。
除了UCS产品,思科发行本周另外两个重要的安全警告其IP电话。
首先,思科IP电话网络服务器中的漏洞可以让未经认证的远程攻击者执行代码与根特权或导致受影响的IP电话的重新加载,从而导致DoS条件,思科说明。
此漏洞影响以下思科产品,如果他们有支持Web访问,并早于该设备的第一个固定版本上运行的固件版本:
- IP电话7811,7821,7841,7861个桌面电话
- IP电话8811,8841,8845,8851,8861,8865个桌面电话
- 统一IP会议电话8831
- 无线IP电话8821和8821-EX
其他IP电话问题涉及为思科IP电话的Web应用程序,可以让攻击者发送特制的HTTP请求到目标设备的Web服务器。一个成功的攻击可以让攻击者远程以root权限执行代码或导致受影响的IP电话的重新加载,导致DoS条件。
此漏洞存在,因为受影响的软件未能检查输入数据的界限,思科表示。思科称,它已经发布免费的软件更新来解决这些问题。