WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Cisco vá lỗ hổng nghiêm trọng trên phần mềm UCS Central
Một số phiên bản Hệ thống điện toán hợp nhất của Cisco (UCS Central) tồn tại lỗ hổng nghiêm trọng ở mức cao. Lỗ hổng có thể bị hacker khai thác để tiếp cận các thông tin nhạy cảm, chạy mã tùy biến trên hệ thống hoặc vô hiệu hóa thiết bị.
Lỗi nhận điểm nghiêm trọng cao nhất
Lỗ hổng có tên CVE-2015-0701, hiện diện trong phần mềm UCS Central từ phiên bản 1.2 trở xuống và có thể bị khai thác từ xa mà không cần bước xác thực.
Lỗi nằm ở web framework của sản phẩm và là kết quả của quá trình xác thực dữ liệu nhập không hợp lý.
Tin tặc có thể lợi dụng lỗ hổng bằng cách gửi một truy vấn HTTP được tạo riêng tới thiết bị mục tiêu. Kết quả là tin tặc có thể thực thi lệnh tùy biến trên hệ điều hành của thiết bị bằng đặc quyền của người dùng có quyền root.
Lỗ hổng được đánh giá nguy hiểm ở mức cao nhất, tương đương điểm 10, theo hệ thống chấm điểm CVSS. Tin tặc có thể dễ dàng khai thác lỗ hổng này và lấy được các thông tin hệ thống quan trọng.
Phiên bản mới giảm thiểu được các nguy cơ
Hãng cho hay không có thông tin nào cho thấy lỗ hổng an ninh này đang được khai thác trên diện rộng, hoặc đã được tiết lộ rộng rãi.
Để vá lỗ hổng, hãng đã phát hành phiên bản UCS Central 1.3 (1a). Không có biện pháp nào khác để giảm thiểu nguy cơ do lỗ hổng gây ra; do vậy, cập nhật bản vá là cách duy nhất để bảo vệ thiết bị khỏi các cuộc tấn công có thể xảy ra.
Trước khi update, các quản trị mạng cần đảm bảo rằng thiết bị của mình có đủ bộ nhớ để tiến hành.
Nguồn: Softpedia
Lỗi nhận điểm nghiêm trọng cao nhất
Lỗ hổng có tên CVE-2015-0701, hiện diện trong phần mềm UCS Central từ phiên bản 1.2 trở xuống và có thể bị khai thác từ xa mà không cần bước xác thực.
Lỗi nằm ở web framework của sản phẩm và là kết quả của quá trình xác thực dữ liệu nhập không hợp lý.
Tin tặc có thể lợi dụng lỗ hổng bằng cách gửi một truy vấn HTTP được tạo riêng tới thiết bị mục tiêu. Kết quả là tin tặc có thể thực thi lệnh tùy biến trên hệ điều hành của thiết bị bằng đặc quyền của người dùng có quyền root.
Lỗ hổng được đánh giá nguy hiểm ở mức cao nhất, tương đương điểm 10, theo hệ thống chấm điểm CVSS. Tin tặc có thể dễ dàng khai thác lỗ hổng này và lấy được các thông tin hệ thống quan trọng.
Phiên bản mới giảm thiểu được các nguy cơ
Hãng cho hay không có thông tin nào cho thấy lỗ hổng an ninh này đang được khai thác trên diện rộng, hoặc đã được tiết lộ rộng rãi.
Để vá lỗ hổng, hãng đã phát hành phiên bản UCS Central 1.3 (1a). Không có biện pháp nào khác để giảm thiểu nguy cơ do lỗ hổng gây ra; do vậy, cập nhật bản vá là cách duy nhất để bảo vệ thiết bị khỏi các cuộc tấn công có thể xảy ra.
Trước khi update, các quản trị mạng cần đảm bảo rằng thiết bị của mình có đủ bộ nhớ để tiến hành.
Nguồn: Softpedia