思科在DNA Center的3个关键安全补丁上发出警告

admin

思科在DNA Center的3个关键安全补丁上发出警告

DNA Center

两个最严重的安全问题涉及思科数据中心网络管理器（DCNM）

思科为其DNA中心用户发布了三个“关键”安全警告 - 两个普通漏洞评分系统评分为9.8分（满分10分）。

最糟糕的两个问题涉及思科数据中心网络管理器（DCNM）。 Cisco DNA Center通过使用软件定义访问的策略控制访问，通过思科DNA自动化自动提供，通过思科网络功能虚拟化（NFV）虚拟化设备，并通过分段和加密流量分析降低安全风险。

在一项咨询中，思科表示，DCNM基于Web的管理界面中的漏洞可以让攻击者通过向受影响设备上可用的特定Web servlet发送特制的HTTP请求，而无需知道管理用户密码，从而获得有效的会话cookie。该漏洞是由于受影响的DCNM软件上的会话管理不当造成的。

该漏洞影响版本11.1（1）之前的DCNM软件版本。思科表示，它已在DCNM软件版本11.1（1）中完全删除了受影响的Web servlet。

针对DCNM发布了另一个严重警告，该漏洞允许攻击者通过将特制数据发送到受影响设备上可用的特定Web servlet，在底层DCNM文件系统上创建任意文件。

思科表示，该漏洞是由受影响的DCNM软件中的权限设置不正确引起的。成功利用可能允许攻击者在文件系统上写入任意文件，并在受影响的设备上以root权限执行代码。

思科表示，在DCNM软件版本11.0（1）及更早版本中，攻击者需要通过DCNM基于Web的管理界面进行身份验证才能利用此漏洞。

第三个漏洞--CVSS评分为9.3--定义了DNA Center中的漏洞，该漏洞可能使未经身份验证的相邻攻击者绕过身份验证并访问关键内部服务。攻击者可以通过将未经授权的网络设备连接到为群集服务指定的子网来利用此漏洞。思科表示，一次成功的攻击可能会让攻击者获得内部服务，而这些内部服务并未加强外部访问。

该公司表示，该漏洞是由于对系统运行所必需的端口的访问限制不足。

在这种情况下，思科表示，无法升级到固定版本的客户可以使用解决方法。要协调变通方法的实施，请联系思科技术支持中心（TAC）。

思科表示已发布免费软件更新，以解决这些建议中描述的漏洞。

本周的重要警告将在上周发布另一个关键的DNA中心通知。然后，思科详细说明了一个关于CVSS评级为9.3的严重警告 - 其DNA中心软件中的漏洞可能会让未经身份验证的攻击者通过将未经授权的网络设备连接到指定用于集群服务的子网来利用这一弱点。

思科表示，成功利用攻击可以让攻击者获得内部服务，而这些内部服务并未加强外部访问。该漏洞是由于对系统运行所必需的端口的访问限制不足，思科在内部安全测试期间发现了这个问题，该公司表示。

此漏洞影响1.3之前的Cisco DNA Center软件版本，并在1.3版本中修复，之后发布。

思科写道，系统更新可从思科云安装，无法从Cisco.com上的软件中心下载。要升级到Cisco DNA Center软件的固定版本，管理员可以使用该软件的系统更新功能。