Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/06/27

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

• Cisco Data Center Network Manager (DCNM), 11.1 (1) software bertsioa baino lehenagokoak.

Azalpena: 

Pedro Ribeiro segurtasun ikertzaile independenteak, ahultasunen berri emateko iDefense programaren bidez, larritasun kritikoko bi ahultasun eta larritasun altuko beste ahultasun bat aurkitu ditu. Autentifikaziorik gabeko urruneko erasotzaile batek fitxategi arbitrarioak igo litzake, autentifikazioa saihestu, administratzaile pribilegioekin ekintza arbitrarioak egin edo kaltetutako gailuko informazio sentikorrera sarbidea lortu.

Konponbidea: 

• Data Center Network Manager 11.2(1) bertsiora edo geroagoko batera eguneratzea.

Xehetasuna: 

• Larritasun kritikoko ahultasun baten jatorria saioaren kudeaketa okerra da. Autentifikaziorik gabeko urruneko erasotzaile batek bereziki sortutako HTTP eskaera bat egin lezake, gailurako sarbidea lortzeko administratzaile pribilegioekin. Ahultasun horretarako CVE-2019-1619 identifikatzailea erabili da.
• Larritasun kritikoko beste ahultasunaren jatorria baimenen ezarpen oker batzuk dira. Autentifikaziorik gabeko urruneko erasotzaile batek bereziki sortutako datuak bidal litzake fitxategiak aldatzeko eta kode arbitrarioa exekutatzeko root pribilegioekin. Ahultasun horretarako CVE-2019-1620 identifikatzailea erabili da.
• Larritasun altuko ahultasunaren jatorria baimenen ezarpen oker batzuk dira. Autentifikaziorik gabeko urruneko erasotzaile bat kudeaketaren web interfazera konekta liteke eta horrela fitxategi arbitrarioak deskargatu gailutik. Ahultasun horretarako CVE-2019-1621 identifikatzailea erabili da.

Etiketak: Eguneraketa, Cisco, Ahultasuna