思科SDN控制器存在root訪問漏洞����,思科發(fā)布了軟件補丁,修復(fù)Root訪問漏洞�。思科發(fā)布了一份軟件補丁,以修補自家SDN控制器中的漏洞����。這個漏洞能夠讓攻擊者以Root用戶身份訪問系統(tǒng),并運行Root命令��。
Root命令可以使攻擊者得以訪問所有控制器中的命令和文件。之后����,攻擊者可以使用任意方式更改系統(tǒng)配置,為包括Root用戶在內(nèi)的所有用戶提權(quán)或撤權(quán)�。
思科最近發(fā)布的一份安全通告中稱,共有兩款思科設(shè)備中存在這個漏洞:應(yīng)用策略設(shè)施控制器(Application Policy Infrastructure Controller����,APIC)中的集群管理配置文件��、啟用了應(yīng)用中心基礎(chǔ)設(shè)施(Application Centric Infrastructure���,ACI)模式的Nexu 9000系列交換機。漏洞產(chǎn)生的原因是APIC文件系統(tǒng)中實施了不恰當(dāng)?shù)脑L問控制���。
攻擊者可以通過訪問APIC中的集群管理配置文件來利用這個漏洞�����。之后攻擊者能夠以Root用戶身份訪問APIC��,并執(zhí)行Root級的命令���。
受影響的產(chǎn)品包括:軟件版本低于1.1(1j)、1.0(3o)����、1.0(4o)的APIC;軟件版本低于11.1(1j)、11.0(4o)的使用ACI模式的Nexus 9000型交換機����。
思科已經(jīng)放出了修復(fù)該漏洞的免費軟件補丁,目前還沒有除補丁以外的其它替代解決方案�。
思科在一次內(nèi)部安全評估會議上收到了關(guān)于該漏洞的報告���。思科表示,目前還沒有觀察到任何惡意利用該漏洞的跡象����。
思科也發(fā)布了針對以下產(chǎn)品的安全通告:VideoScape電視業(yè)務(wù)交付平臺中的拒絕服務(wù)漏洞���、Unified MeetingPlace應(yīng)用中的未授權(quán)更改密碼漏洞���、思科IOS TPC和TFTP Server軟件中的拒絕服務(wù)漏洞、ASR 1000邊界路由器中的碎片流量式拒絕服務(wù)漏洞�。
企業(yè)通訊
