思科Elastic Services Controller服务端口存在身份绕过漏洞,请尽快升级更新-华盟网

思科Elastic Services Controller服务端口存在身份绕过漏洞,请尽快升级更新

华盟学院山东省第二期线下学习计划

思科Elastic Services Controller服务端口存在身份绕过漏洞,请尽快升级更新

前言

Cisco Elastic Services Controller(ESC)是美国思科(Cisco)公司的一个开源的模块化系统,思科Elastic Services Controller软件的基于Web的身份验证功能中的漏洞可能允许未经授权的远程攻击者绕过身份验证,并在受影响的系统上以管理员权限执行任意操作。该漏洞是在1月21号发现的,目前,思科已将该漏洞命名为CVE-2018-0121,严重级别定义为“危急”。

攻击者可以通过向受影响的设备提交一个空的管理密码值来利用此漏洞,从而允许攻击者绕过认证并获得受影响软件的基于Web的服务门户的管理员权限,关于漏洞的详细信息你可点此查看。

易受攻击的产品

此漏洞影响思科Elastic Services Controller的3.0.0版本,如果要确定在系统上正在运行的是哪个Cisco Elastic Services Controller(ESC)版本,那你可以在ESC CLI中使用esc_version命令,然后在版本字段中引用输出的结果。以下就是显示了运行Cisco ESC软件版本4.0.0的系统的命令输出样本:

思科Elastic Services Controller服务端口存在身份绕过漏洞,请尽快升级更新

目前除了3.0.0版本外,还没有其他思科产品受此漏洞影响。思科已确认此漏洞不会影响3.0.0版本之前的产品。

缓解方法

目前没有解决此漏洞的解决方法,所以思科已发布免费的软件更新来解决此通报中描述的漏洞。

此外,客户只能下载拥有有效许可证的软件,这些软件是直接从思科购买的,或通过思科授权经销商或合作伙伴购买的。在大多数情况下,这将是以前购买的软件的维护升级。如果你用的是盗版或是免费的产品,那此次安全更新是不允许客户获得新的软件许可证的,所以你也就无法获得附加的软件功能集。

www.idc126.com

请注意,客户应确保要升级的设备有足够的内存,并确认当前的硬件和软件配置将继续支持新版本。

本文翻译自:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180221-esc
如若转载,请注明原文地址: http://www.4hou.com/info/news/10451.html
本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
已赞3

发表评论