绿盟科技NSFOCUS安全漏洞系统

安全研究

安全漏洞

Cisco FXOS和NX-OS Software软件本地命令注入漏洞（CVE-2019-1795）

发布日期：2019-06-03
更新日期：2019-06-03

受影响系统：

Cisco NX-OS 8.3
Cisco NX-OS 8.3
Cisco NX-OS 8.2
Cisco NX-OS 8.2
Cisco NX-OS 8.1
Cisco NX-OS 8.1
Cisco NX-OS 8.0
Cisco NX-OS 8.0
Cisco NX-OS 7.3
Cisco NX-OS 7.3
Cisco NX-OS 7.2
Cisco NX-OS 7.2
Cisco NX-OS 7.0(3)I7
Cisco NX-OS 7.0(3)I7
Cisco NX-OS 7.0(3)I4
Cisco NX-OS 7.0(3)I4
Cisco NX-OS 7.0(3)
Cisco NX-OS 7.0(3)
Cisco NX-OS 6.2
Cisco NX-OS 6.2
Cisco NX-OS 6.0(2)A8
Cisco NX-OS 6.0(2)A8
Cisco NX-OS 5.2
Cisco NX-OS 5.2
Cisco NX-OS 4.0
Cisco NX-OS 4.0
Cisco NX-OS 3.2
Cisco NX-OS 3.2
Cisco Nexus 9500 R-Series Switching Platfo
Cisco Nexus 9000 Series Switches - Standal
Cisco Nexus 7700 Series Switches
Cisco Nexus 7000 Series Switches
Cisco Nexus 6000
Cisco Nexus 5600
Cisco Nexus 5500
Cisco Nexus 3600 Platform Switches
Cisco Nexus 3500 Platform Switches
Cisco Nexus 3000 Series Switches
Cisco Nexus 1000V Switch for VMware vSpher
Cisco Nexus 1000V Switch for Microsoft Hyp
Cisco Nexus 7000 Series Switches
Cisco MDS 9000
Cisco Firepower 4100
Cisco Nexus 3000 Series Switches
Cisco Nexus 3500 Platform Switches
Cisco Firepower 9300 Security Appliance
Cisco FXOS Software
Cisco UCS 6300 Series Fabric Interconnects
Cisco UCS 6200 Series Fabric Interconnects
Cisco FXOS 2.4
Cisco FXOS 2.3
Cisco FXOS 2.2
Cisco FXOS 2.1
Cisco FXOS 2.0

不受影响系统：

Cisco NX-OS 8.3(1)
Cisco NX-OS 8.2(3)
Cisco NX-OS 7.3(4)N1(1)
Cisco NX-OS 7.3(3)D1(1)
Cisco NX-OS 7.3(2)D1(3)
Cisco NX-OS 7.0(3)I7(3)
Cisco NX-OS 7.0(3)I4(8)
Cisco NX-OS 7.0(3)F3(5)
Cisco NX-OS 6.2(22)
Cisco NX-OS 6.0(2)A8(11)
Cisco NX-OS 5.2(1)SV3(4.1)
Cisco NX-OS 4.0(1a)
Cisco NX-OS 3.2(3a)
Cisco FXOS Software 2.4.1.101
Cisco FXOS Software 2.3.1.73
Cisco FXOS Software 2.2.2.54
Cisco FXOS Software 2.0.1.201

描述：

BUGTRAQ  ID: 108479
CVE(CAN) ID: CVE-2019-1795

Cisco FXOS Software是一套运行在思科安全设备中的防火墙软件。Cisco NX-OS Software是一套交换机使用的数据中心级操作系统软件。
Cisco FXOS软件和Cisco NX-OS软件的CLI中的漏洞可能允许经过身份验证的本地攻击者利用root权限级别在底层Linux操作系统上执行任意命令。
该漏洞是由于对受影响设备上传递给特定CLI命令的参数的验证不充分。攻击者可以通过将恶意输入作为受影响命令的参数来利用此漏洞。成功利用可能允许攻击者使用提升的权限在底层Linux操作系统上执行任意命令。攻击者需要有效的管理员凭据才能利用此漏洞。

<*来源：Cisco

  链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-nxos-cmdinj-
*>

建议：

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（CVE-2019-1795）以及相应补丁:
CVE-2019-1795：Cisco FXOS and NX-OS Software Command Injection Vulnerability (CVE-2019-1795)
链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-nxos-cmdinj-

补丁下载：

浏览次数：1442
严重程度：0（网友投票）

关于我们: 公司介绍; 公司荣誉; 公司新闻

联系我们: 公司总部; 分支机构; 海外机构

快速链接: 绿盟云; 绿盟威胁情报中心NTI; 技术博客