Cisco Unified Computing System sérülékenységek


2013. április 25. 12:26

CH azonosító

CH-9041

Angol cím

Cisco Unified Computing System Multiple Vulnerabilities

Felfedezés dátuma

2013.04.24.

Súlyosság

Közepes

Érintett rendszerek

CISCO
Unified Computing System

Érintett verziók

Cisco Unified Computing System (UCS) 1.x

Összefoglaló

A Cisco Unified Computing System több sérülékenységét jelentették, amiket kihasználva a támadók megkerülhetnek egyes biztonsági szabályokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a sérülékeny rendszert.

Leírás

  1. A manager Web Console egy hibáját kihasználva meg lehet kerülni egyes biztonsági szabályokat, és például be lehet lépni más felhasználóként megfelelő azonosítás nélkül. A sérülékenység sikeres kihasználásához szükséges, hogy bizonyos LDAP beállítások engedélyezve legyenek, illetve hogy a rendszer direct LDAP integration-re legyen konfigurálva.
  2. Az Intelligent Platform Management Interface (IPMI) implementáció egy hibáját kihasználva puffer túlcsordulást lehet előidézni a 623/UDP portra küldött speciálisan összeállított csomag segítségével. A sérülékenység sikeres kihasználása tetszőleges kód végrehajtását teszi lehetővé.
  3. Az XML API management szolgáltatás egy hibáját kihasználva elérhetetlenné lehet tenni a rendszert.
  4. Egy menedzselt számítási erőforrás (managed computing resource) Cisco IMC-jének egy hibáját kihasználva meg lehet kerülni a hitelesítést, és hozzá lehet férni a fizikai vagy virtuális eszköz IP KVM konzoljához egy speciálisan megszerkesztett KVM hitelesítési kéréssel.

A sérülékenységeket az alábbi termékekben jelentették:

  • Cisco Unified Computing System 6100 Series Fabric Interconnect
  • Cisco Unified Computing System 6200 Series Fabric Interconnect
  • Cisco Unified Computing System Cisco Integrated Management Controllers

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Security bypass (Biztonsági szabályok megkerülése)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
CVE-2013-1182 - NVD CVE-2013-1182
CVE-2013-1183 - NVD CVE-2013-1183
CVE-2013-1184 - NVD CVE-2013-1184
CVE-2013-1185 - NVD CVE-2013-1185
CVE-2013-1186 - NVD CVE-2013-1186
SECUNIA 53188

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-3928 – Commvault Web Server Unspecified sérülékenysége
CVE-2025-3248 – Langflow Missing Authentication sérülékenysége
CVE-2024-58136 – Yiiframework Yii Improper Protection of Alternate Path sérülékenysége
CVE-2025-34028 – Commvault Command Center Path Traversal sérülékenysége
CVE-2023-44221 – SonicWall SMA100 Appliances OS Command Injection sérülékenysége
CVE-2024-38475 – Apache HTTP Server Improper Escaping of Output sérülékenysége
CVE-2025-24132 – Apple AirPlay sebezhetősége
CVE-2025-31330 – SAP Landscape Transformation sebezhetősége
CVE-2025-27429 – SAP sebezhetősége
Tovább a sérülékenységekhez »