思科修复了数字编码器,统一计算管理器和安全设备中的临界缺陷
2021-06-26 19:46:02来源:
思科系统已发布软件更新以修复可能允许攻击者损害数字编码器,统一计算系统管理服务器和FirePofer 9000系列安全设备的关键问题。
Cisco模块化编码平台D9036,提供多分辨率的硬件设备,用于需要高视频质量的应用程序的多种格式编码,具有root帐户的硬编码静态密码。
这是操作系统上最高的特权帐户,并在安装时创建。Cisco在一个咨询中表示,在不影响系统功能的情况下,无法更改或删除帐户和密码。
可以通过远程攻击者利用具有已知和不可改变的密码的SSH(Secure Shell)的root帐户的存在,以便完全控制受影响的设备。
除root帐户外,还有一个在安装时创建的访客帐户,也具有不可改变的静态密码。但是,此帐户的特权有限。
Cisco发布版本02.04.70的Cisco模块化编码平台D9036和用户尽快升级。该公司在另一位咨询中表示,更新赢得了“T重置了根和访客帐户的硬编码密码,但允许管理员从命令行手动执行此操作。
思科统一计算系统(UCS)管理器和Cisco Firepower 9000系列设备包含一个CGI脚本,允许执行shell命令,并且可以通过发送特制的HTTP请求而无需身份验证访问。
此漏洞可能允许远程攻击者在受影响的设备上执行任意命令,并且也被评为至关重要。它是在Cisco UCS Manager版本2.2(4B),2.2(5A)和3.0(2E)和FX-OS版本1.1.2中的解决方案。
返回科技金融网首页 >>
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。
