Cisco выпустила исправления для уязвимостей безопасности в широком спектре своих продуктов, включая два критических недостатка в своей Системе управления безопасным доступом (ACS) и программном обеспечении Prime Collaboration Provisioning (PCP).
Об уязвимостях
Уязвимость (CVE-2018-0141) в программном обеспечении Cisco Prime Collaboration Provisioning была обнаружена во время внутреннего тестирования безопасности и связана с жестко заданным паролем учетной записи в системе.
«Злоумышленник может использовать эту уязвимость, подключившись к уязвимой системе через Secure Shell (SSH) с использованием жестко закодированных учетных данных. Успешный эксплойт может позволить злоумышленнику получить доступ к базовой операционной системе как пользователь с низким уровнем привилегий. После получения низкоуровневых привилегий злоумышленник может повысить привилегии root и получить полный контроль над устройством », - пояснили в компании .
Хотя уязвимость не может быть использована удаленно и позволяет только доступ с низким уровнем привилегий, «существуют смягчающие обстоятельства, которые позволяют злоумышленнику повысить привилегии до root», - отметили они. И поэтому недостаток считается критическим.
Он влияет только на версию 11.6 программного обеспечения и был исправлен в версиях 12.1 и более поздних.
Уязвимость (CVE-2018-0147) в системе Cisco Secure Access Control System может быть удаленно использована злоумышленником, не прошедшим проверку подлинности, и может использоваться для достижения удаленного выполнения кода с привилегиями root.
«Уязвимость связана с небезопасной десериализацией предоставленного пользователем контента с помощью уязвимого программного обеспечения. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный сериализованный объект Java », - пояснили в компании.
Он затрагивает все выпуски Cisco Secure ACS до выпуска 5.8 исправления 9. Его потенциал эксплуатации меньше в системах Cisco Secure ACS, работающих под управлением выпуска 5.8 исправления 7 или исправления 8, поскольку это пользователь должен пройти проверку подлинности, чтобы осуществить компромисс.
Уязвимость была исправлена в накопительном патче Cisco Secure ACS 5.8.0.32.9.
Исследователям Positive Technologies Михаилу Ключникову и Юрию Алейнову приписывают открытие ошибки.
Обновления «Обвал» и «Призрак»
Cisco регулярно обновляет рекомендации по уязвимостям раскрытия информации в боковом канале CPU, получившие название Meltdown и Spectre, с тех пор как они были впервые публично идентифицированы в январе 2018 года.
В последнем обновлении компания обновила таблицу уязвимых продуктов с приблизительными датами доступности для поставки фиксированного программного обеспечения для серверов Cisco UCS.
Источник: https://video24.org
Просмотров страницы: 180