首页 -> 安全研究

安全研究

安全漏洞
Cisco FXOS和NX-OS Software本地信息泄露漏洞(CVE-2019-1734)

发布日期:2019-05-15
更新日期:2019-05-21

受影响系统:
Cisco NX-OS 7.3
Cisco NX-OS 7.2
Cisco NX-OS 7.1
Cisco NX-OS 7.0(3)I7
Cisco NX-OS 7.0(3)I4
Cisco NX-OS 7.0(3)
Cisco NX-OS 6.2
Cisco NX-OS 6.0(2)A
Cisco NX-OS 4.0
不受影响系统:
Cisco NX-OS 7.3(0)N1(1)
Cisco NX-OS 7.1(4)N1(1)
Cisco NX-OS 7.0(3)I7(6)
Cisco NX-OS 7.0(3)I4(9)
Cisco NX-OS 7.0(3)F3(5)
Cisco NX-OS 6.2(7)
Cisco NX-OS 6.2(6)
Cisco NX-OS 6.0(2)A4(1)
Cisco NX-OS 4.0(1a)
描述:
BUGTRAQ  ID: 108381
CVE(CAN) ID: CVE-2019-1734

Cisco NX-OS Software和Cisco FXOS Software都是美国思科(Cisco)公司的产品。Cisco NX-OS Software是一套交换机使用的数据中心级操作系统软件。Cisco FXOS Software是一套运行在思科安全设备中的防火墙软件。
在Cisco FXOS Software和NX-OS Software中,实施CLI诊断命令时存在一个漏洞,允许经过身份验证的本地攻击者查看应受限制的敏感系统文件。攻击者可以使用此信息进行其他侦察攻击。
该漏洞产生原因是基于角色的访问控制(RBAC)验证不完整。通过向设备进行身份验证并使用精心设计的用户输入参数发出特定的CLI诊断命令,攻击者可利用此漏洞,对设备上的文件执行任意读取,并且文件可能包含敏感信息。攻击者需要有效的设备凭据才能利用此漏洞。

<*来源:Cisco
  
  链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-nxos-fxos-in
*>

建议:
厂商补丁:

Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20190515-nxos-fxos-info)以及相应补丁:
cisco-sa-20190515-nxos-fxos-info:Cisco FXOS and NX-OS Software Sensitive File Read Information Disclosure Vulnerability
链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-nxos-fxos-in

补丁下载:

浏览次数:1794
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障