Cisco Unified Computing System sérülékenységek


2013. április 25. 12:26

CH azonosító

CH-9041

Angol cím

Cisco Unified Computing System Multiple Vulnerabilities

Felfedezés dátuma

2013.04.24.

Súlyosság

Közepes

Érintett rendszerek

CISCO
Unified Computing System

Érintett verziók

Cisco Unified Computing System (UCS) 1.x

Összefoglaló

A Cisco Unified Computing System több sérülékenységét jelentették, amiket kihasználva a támadók megkerülhetnek egyes biztonsági szabályokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a sérülékeny rendszert.

Leírás

  1. A manager Web Console egy hibáját kihasználva meg lehet kerülni egyes biztonsági szabályokat, és például be lehet lépni más felhasználóként megfelelő azonosítás nélkül. A sérülékenység sikeres kihasználásához szükséges, hogy bizonyos LDAP beállítások engedélyezve legyenek, illetve hogy a rendszer direct LDAP integration-re legyen konfigurálva.
  2. Az Intelligent Platform Management Interface (IPMI) implementáció egy hibáját kihasználva puffer túlcsordulást lehet előidézni a 623/UDP portra küldött speciálisan összeállított csomag segítségével. A sérülékenység sikeres kihasználása tetszőleges kód végrehajtását teszi lehetővé.
  3. Az XML API management szolgáltatás egy hibáját kihasználva elérhetetlenné lehet tenni a rendszert.
  4. Egy menedzselt számítási erőforrás (managed computing resource) Cisco IMC-jének egy hibáját kihasználva meg lehet kerülni a hitelesítést, és hozzá lehet férni a fizikai vagy virtuális eszköz IP KVM konzoljához egy speciálisan megszerkesztett KVM hitelesítési kéréssel.

A sérülékenységeket az alábbi termékekben jelentették:

  • Cisco Unified Computing System 6100 Series Fabric Interconnect
  • Cisco Unified Computing System 6200 Series Fabric Interconnect
  • Cisco Unified Computing System Cisco Integrated Management Controllers

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Security bypass (Biztonsági szabályok megkerülése)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
CVE-2013-1182 - NVD CVE-2013-1182
CVE-2013-1183 - NVD CVE-2013-1183
CVE-2013-1184 - NVD CVE-2013-1184
CVE-2013-1185 - NVD CVE-2013-1185
CVE-2013-1186 - NVD CVE-2013-1186
SECUNIA 53188

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »