Cisco发布免费软件更新以修复企业NFV基础设施软件缺陷
NFVIS图像注册过程的另一次曝光可允许非认证远程攻击者注入命令,然后可以在图像注册过程期间根级执行NFVIS主机弱点可说服主机管理员安装VM图像并配有编译元数据,用root执行命令-级别权限VM注册过程Cisco表示成功开发可允许攻击者向NFVIS主机注入带根级权限命令Cisco表示,这种漏洞是由于输入验证不当
第三次NFVIS咨询与软件导入函数相关,软件允许非认证远程攻击系统数据从主机传入配置VM攻击者可以通过说服管理员导入编译文件,读主机数据并写入配置VM成功开发可允许攻击者访问主机系统信息,例如含有用户数据的文件,使用配置VM系统Cisco表示Cisco表示, 攻击者已经验证VM访问权限, 并配置成NFVIS主机内可直接访问保密系统信息
Cisco添加的 XML解析器外部实体解析
Cisco发布免费软件更新解决这些漏洞并说没有变通方法
