发布日期：2019-06-06
更新日期：2019-06-06

受影响系统：

Cisco Application Policy Infrastructure Controller (APIC 4.1(0.90a)

不受影响系统：

Cisco Application Policy Infrastructure Controller (APIC 4.2(0.33c)
Cisco Application Policy Infrastructure Controller (APIC 4.2(0.21c)
Cisco Application Policy Infrastructure Controller (APIC 4.1(1i)
Cisco Application Policy Infrastructure Controller (APIC 4.1(0.142b)

描述：

---

BUGTRAQ  ID: 108158
CVE(CAN) ID: CVE-2019-1586

思科应用策略基础设施控制器 (APIC) 是 Cisco ACI 解决方案的主要架构组件。它是Cisco ACI 交换矩阵、策略实施和健康状态监控实现自动化和管理的统一点。Cisco APIC是一个集中的群集式控制器。它优化了性能，能够在任何位置支持任何应用，并统一了物理环境和虚拟环境的操作。此控制器可管理和操作可扩展的多租户 Cisco ACI 交换矩阵。
思科应用程序策略基础结构控制器（APIC）软件中的漏洞可能允许未经身份验证的未经身份验证的本地攻击者从受影响的设备获取敏感信息。该漏洞是由于不安全地删除存储在受影响设备的硬盘驱动器中的本地分区上的明文加密密钥。攻击者可以通过从受影响的分区上的物理磁盘检索数据来利用此漏洞。成功利用可能允许攻击者检索加密密钥，可能允许攻击者进一步解密设备上的其他数据和敏感信息，这可能导致机密信息的泄露。

<*来源：Detack GmbH的Costin Enache
  
  链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-apic-encrypt
*>

建议：

---

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20190501-apic-encrypt）以及相应补丁:
cisco-sa-20190501-apic-encrypt：Cisco Application Policy Infrastructure Controller Recoverable Encryption Key Vulnerability
链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-apic-encrypt

补丁下载：

浏览次数：1954
严重程度：0（网友投票）