Argitalpen data: 2019/02/21
Garrantzia:
Handia
Kaltetutako baliabideak:
- Cisco HyperFlex Software, 3.5 (2a) bertsioa baino lehenagokoak.
- Cisco IOS XR Software, TFTP zerbitzua aktibatuta duten Cisco Network Convergence System 1000 Series gailuetarako 6.5.2 baino lehenagoko bertsioak.
- Cisco PCA Software, 12.1 SP2 baino lehenagoko bertsioak.
- Cisco Prime Infrastructure (PI) Software, 2.2tik 3.4.0ra bitarteko bertsioak, PI server integratuta dagoenean ISErekin (modu lehenetsiz desaktibatuta).
Azalpena:
Larritasun altuko 5 ahultasun argitaratu dira Cisco produktuetan. Horiek baliatuz erasotzaile batek pribilegioak eskala litzake, kodea root baimenekin exekutatu, informazioa zabaldu, sistemara sartu edo komunikazioak ikusi eta atzeman.
Konponbidea:
Xehetasuna:
- Aski ez diren autentifikazio kontrolak baliatuz erasotzaile bat hxterm zerbitzura konekta liteke pribilegiorik gabeko erabiltzaile lokal baten modura, eta root sarbidea lor lezake HyperFlex klusterraren nodo guztietara. Ahultasun horretarako CVE-2019-1664 identifikatzailea erreserbatu da./li>
- Sarbidearen baliozkotze ez-nahikoa baliatuz erasotzaile bat Cisco HyperFlex klusterraren zerbitzuen administratzailera konekta liteke eta komandoak exekutatu root erabiltzaile modura kaltetutako host-ean. Ahultasun horretarako CVE-2018-15380 identifikatzailea erabili da.
- FTP eskaeretan erabiltzaileak emandako sarreren baliozkotze okerra baliatuz, erasotzaile batek fitxategi arbitrarioak berreskura litzake kaltetutako gailutik. Horren ondorioz informazio sentikorraren zabalkundea gertatuko litzateke. Ahultasun horretarako CVE-2019-1681 identifikatzailea erreserbatu da.
- Cisco Prime Collaboration Assurance (PCA) softwarearen Quality of Voice Reporting (QOVR) zerbitzuak duen autentifikazioaren kontrol ez-nahikoa baliatuz, autentifikaziorik gabeko urruneko erasotzaile bat sistemara sar liteke baliozko erabiltzaile izen batekin. Ahultasun horretarako CVE-2019-1662 identifikatzailea erreserbatu da.
- ISEdun SSL tunela ezartzean zerbitzariaren SSL ziurtagiriaren baliozkotze okerra baliatuz, erasotzaile batek bereziki diseinatutako SSL ziurtagiri bat erabil lezake ISEaren eta PI-aren arteko komunikazioak ikusi eta atzemateko. Ahultasun horretarako CVE-2019-1659 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Cisco, Ahultasuna