思科SDN控制器存在root訪問漏洞,思科發(fā)布了軟件補(bǔ)丁��,修復(fù)Root訪問漏洞����。思科發(fā)布了一份軟件補(bǔ)丁�����,以修補(bǔ)自家SDN控制器中的漏洞��。這個(gè)漏洞能夠讓攻擊者以Root用戶身份訪問系統(tǒng)�����,并運(yùn)行Root命令����。
Root命令可以使攻擊者得以訪問所有控制器中的命令和文件�����。之后��,攻擊者可以使用任意方式更改系統(tǒng)配置�����,為包括Root用戶在內(nèi)的所有用戶提權(quán)或撤權(quán)�����。
思科最近發(fā)布的一份安全通告中稱����,共有兩款思科設(shè)備中存在這個(gè)漏洞:應(yīng)用策略設(shè)施控制器(Application Policy Infrastructure Controller�����,APIC)中的集群管理配置文件��、啟用了應(yīng)用中心基礎(chǔ)設(shè)施(Application Centric Infrastructure,ACI)模式的Nexu 9000系列交換機(jī)�����。漏洞產(chǎn)生的原因是APIC文件系統(tǒng)中實(shí)施了不恰當(dāng)?shù)脑L問控制�����。
攻擊者可以通過(guò)訪問APIC中的集群管理配置文件來(lái)利用這個(gè)漏洞��。之后攻擊者能夠以Root用戶身份訪問APIC����,并執(zhí)行Root級(jí)的命令。
受影響的產(chǎn)品包括:軟件版本低于1.1(1j)�����、1.0(3o)�����、1.0(4o)的APIC;軟件版本低于11.1(1j)����、11.0(4o)的使用ACI模式的Nexus 9000型交換機(jī)。
思科已經(jīng)放出了修復(fù)該漏洞的免費(fèi)軟件補(bǔ)丁��,目前還沒有除補(bǔ)丁以外的其它替代解決方案��。
思科在一次內(nèi)部安全評(píng)估會(huì)議上收到了關(guān)于該漏洞的報(bào)告��。思科表示��,目前還沒有觀察到任何惡意利用該漏洞的跡象����。
思科也發(fā)布了針對(duì)以下產(chǎn)品的安全通告:VideoScape電視業(yè)務(wù)交付平臺(tái)中的拒絕服務(wù)漏洞、Unified MeetingPlace應(yīng)用中的未授權(quán)更改密碼漏洞����、思科IOS TPC和TFTP Server軟件中的拒絕服務(wù)漏洞、ASR 1000邊界路由器中的碎片流量式拒絕服務(wù)漏洞����。
企業(yè)通訊
