CH azonosító
CH-12579Angol cím
Cisco Integrated Management Controller Supervisor and Cisco UCS Director Remote File Overwrite VulnerabilityFelfedezés dátuma
2015.09.02.Súlyosság
MagasÉrintett rendszerek
CISCOIntegrated Management Controller Supervisor
UCS Director
Érintett verziók
Cisco IMC Supervisor 1.0.0.1 előtti
Cisco UCS Director (más néven Cloupia Unified Infrastructure Controller) 5.2.0.1 előtti
Összefoglaló
A Cisco Integrated Management Controller (IMC) Supervisor és Cisco UCS Director olyan sérülékenységtől szenvednek, amely távoli rosszindulatú felhasználók számára lehetővé teheti, hogy autentikáció nélkül képesek legyenek tetszőleges rendszerfájl felülírására, ami a rendszer instabilitását és szolgáltatás megtagadás támadás véghezvitelét eredményezheti.
Leírás
Maga a sérülékenység a JavaServer Pages (JSP) validációs rutinjában található, amely bizonyos JSP oldalak esetén a bejövő adatokat nem kezeli megfelelően. Kihasználása a sérülékeny rendszernek küldött speciálisan formázott HTTP kérésekkel lehetséges.
Azok a rendszerek veszélyeztetettek, amelyek alapértelmezett konfigurációval futnak.
Megoldás
Frissítsen a legújabb verzióraMegoldás
- Cisco IMC Supervisor 1.0.0.1 (vagy későbbi) verzió telepítése:
UCS Director 5.2.0.1 / 5.3.0.0 (vagy későbbi) verzió telepítése:
https://software.cisco.com/download/release.html?mdfid=286283454&flowid=72903&softwareid=285018084&release=5&relind=AVAILABLE&rellifecycle=&reltype=latest
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Misconfiguration (Konfiguráció)
Remote File Overwrite
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tools.cisco.com
CVE-2015-6259 - NVD CVE-2015-6259