发布日期：2019-08-20
更新日期：2019-08-23

受影响系统：

Cisco UCS Director 6.7.0.0－6.7.1.0
Cisco UCS Director 6.6.0.0－6.6.1.0
Cisco UCS Director 6.5
Cisco UCS Director 6.0
Cisco IMC Supervisor 2.2.0.0－2.2.0.6
Cisco IMC Supervisor 2.1
Cisco UCS Director Express for Big Data 3.7.1.0
Cisco UCS Director Express for Big Data 3.7.0.0
Cisco UCS Director Express for Big Data 3.6
Cisco UCS Director Express for Big Data 3.5
Cisco UCS Director Express for Big Data 3.0

描述：

---

CVE(CAN) ID: CVE-2019-1935

Cisco Integrated Management Controller（IMC）是一套用于对UCS（统一计算系统）进行管理的软件。

Cisco Integrated Management Controller Supervisor, Cisco UCS Director, Cisco UCS Director Express for Big Data SCP中存在安全漏洞，可使未经身份验证的远程攻击者用带默认用户凭证的SCP用户帐号( scpuser )登录到受影响系统的CLI。此漏洞源于设备存在一个公开的默认帐户，该帐户权限设置不正确，带有一个未公开的默认密码。在产品安装中，未要求更改该帐户的默认密码。攻击者通过该帐户可登录到受影响系统，从而以scpuser帐户权限执行任意命令，包括对系统数据库的完全读写操作。

<*来源：Pedro Ribeiro
  
  链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190821-imcs-usercre
*>

建议：

---

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20190821-imcs-usercred）以及相应补丁:
cisco-sa-20190821-imcs-usercred：Cisco Integrated Management Controller Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data SCP User Default Credentials Vulnerability
链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190821-imcs-usercred

浏览次数：1652
严重程度：0（网友投票）