思科已经发布了一些重要的安全建议,供其数据中心经理和SD-WAN提供客户应该处理了。雷竞技电脑网站
在数据中心方面雷竞技电脑网站,最关键的 -有威胁的得分从9.8 10- 包括思科数据中心网络管理器(DCNM)的REST API中的漏洞可能允许未经身份验证的远程攻击者绕过雷竞技电脑网站认证和受影响的设备上执行具有管理权限执行任意操作。
思科DCNM让客户看到,并通过该公司的Nexus,多层导向器交换机和统一计算系统产品单一的基于Web的管理控制台控制的网络连接。
“该漏洞的存在是因为不同的设备共享一个静态加密密钥。攻击者可以通过使用静态密钥制作一个有效的会话令牌利用此漏洞。一个成功的攻击可能允许攻击者通过REST API具有管理权限执行任意操作,”思科表示。
据思科,此漏洞影响使用.ova或.iso安装和思科DCNM软件版本11.0,11.1,11.2,11.3和已安装的所有思科DCNM电器的所有部署模式。
本公司发行的其它八个安全警告在DCNM包,最严重的一个之中的一个8.2级在DCNM的REST API端点高漏洞可能让底层操作系统与的特权上的验证,远程攻击者注入任意命令登录的用户。
该漏洞是由于用户提供的输入到API的验证不足。攻击者可以通过发送特制请求API利用此漏洞。一个成功的攻击可能允许攻击者对底层操作系统注入任意命令,思科表示。
其他高评级在DCNM REST API的安全漏洞被发现为好。
对于SD-WAN警告,思科认为他们两个是至关重要的。该第一,具有安全威胁等级为9.9,描述了思科SD-WAN vManage软件的基于Web的管理界面,可以让通过身份验证的远程攻击者绕过授权,使他们能够访问敏感信息,修改系统配置的一个弱点,或影响受影响系统的可用性。
该漏洞是由于受影响的系统上的授权检查不足。攻击者可能利用此弱点通过发送特制的HTTP请求发送到受影响的系统的基于Web的管理界面,思科表示。一个成功的攻击可能允许攻击者获得特权超出了通常会被授权给配置的用户权限级别。攻击者可能能够访问敏感信息,修改系统配置,或影响系统的可用性,思科说明。
第二个关键的警告,与安全威胁等级为9.8,是思科SD-WAN解决方案漏洞软件,可以让未经身份验证的远程攻击者会导致缓冲区溢出受影响的设备上。
该漏洞是由于输入验证不足。攻击者可能通过发送特制的流量到受影响的设备此漏洞。一个成功的攻击可能允许攻击者对他们没有被授权访问信息增益的访问,他们没有被授权作出,并以root用户权限的受影响系统上执行命令进行更改系统,思科表示。
弱势产品包括:IOS XE SD-WAN软件,SD-WAN vBond Orchestrator软件,SD-WAN vEdge云路由器,SD-WAN路由器vEdge,SD-WAN vManage软件,以及SD-WAN vSmart控制器软件。
思科说,有没有解决办法,解决这些漏洞,它有发布软件更新该地址的所有的弱点。