发布日期：2019-05-15
更新日期：2019-05-22

受影响系统：

Cisco NX-OS Software for Nexus 9500 R-Series Switch
Cisco NX-OS Software for Nexus 9000 Series Switches
Cisco NX-OS Software for Nexus 9000 Series Switches
Cisco NX-OS Software for Nexus 3600 Platform Switch
Cisco NX-OS Software for Nexus 3500 Platform Switch
Cisco NX-OS Software for Nexus 3500 Platform Switch
Cisco NX-OS Software for Nexus 3000 Series Switches
Cisco NX-OS Software for Nexus 3000 Series Switches

不受影响系统：

Cisco NX-OS Software for Nexus 9500 R-Series Switch
Cisco NX-OS Software for Nexus 9000 Series Switches
Cisco NX-OS Software for Nexus 9000 Series Switches
Cisco NX-OS Software for Nexus 3600 Platform Switch
Cisco NX-OS Software for Nexus 3500 Platform Switch
Cisco NX-OS Software for Nexus 3500 Platform Switch
Cisco NX-OS Software for Nexus 3000 Series Switches
Cisco NX-OS Software for Nexus 3000 Series Switches

描述：

---

BUGTRAQ  ID: 108378
CVE(CAN) ID: CVE-2019-1729

Cisco NX-OS Software是美国思科（Cisco）公司的一套交换机使用的数据中心级操作系统软件。
用于Cisco NX-OS Software映像维护的特定命令的CLI实现中存在一个漏洞，允许经过身份验证的本地攻击者以root权限覆盖文件系统上的任意文件，包括系统文件。
发生此漏洞的原因是，在使用特定CLI命令时，没有对图像文件的用户输入参数和/或数字签名验证进行验证。攻击者可以通过对设备进行身份验证，并在CLI上发出命令来利用此漏洞。由于攻击可能允许攻击者覆盖磁盘上的任意文件（包括系统文件），可能会发生拒绝服务（DoS）条件。攻击者必须拥有受影响设备的有效管理员凭据才能利用此漏洞。

<*来源：Cisco
  
  链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-nxos-file-wr
*>

建议：

---

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20190515-nxos-file-write）以及相应补丁:
cisco-sa-20190515-nxos-file-write：Cisco NX-OS Software Arbitrary File Overwrite Vulnerability
链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-nxos-file-wr

补丁下载：

浏览次数：1898
严重程度：0（网友投票）