5月安卓手機好評榜:魅族20 Pro奪冠
性能榜和性價比榜之后,我們來看最后的安卓手機好評榜,數據來源安兔兔評測,收集時間2023年5月1日至5月31日,僅限國內市場。第一名:魅族20 Pro好評率:97.50%不得不感慨魅族老品牌還
Cisco Enterprise NFV Infrastructure Software(NFVIS)是思科公司的一套NFV基礎架構軟件平臺。該平臺可以通過中央協調器和控制器實現虛擬化服務的全生命周期管理。
5月4日,思科發布了安全公告,思科企業NFV基礎架構軟件平臺發現虛擬機逃逸漏洞,建議盡快升級。以下是漏洞詳情:
漏洞詳情
來源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-NFVIS-MUL-7DySRX9
1.CVE-2022-20777 CVSS評分:9.9 嚴重
思科企業 NFVIS 的下一代輸入/輸出 (NGIO) 功能中的一個漏洞,使得經過身份驗證的遠程攻擊者能夠從來賓VM中逃逸,從而在 NFVIS 主機上獲得未經授權的Root訪問權限。
此漏洞是由于來賓限制不足造成的。攻擊者可以通過從 VM 發送 API 調用來利用此漏洞,該調用將在 NFVIS 主機上以root級權限執行。成功的利用可以讓攻擊者完全破壞 NFVIS 主機。
2.CVE-2022-20779 CVSS評分:8.8 高
思科企業 NFVIS 映像注冊過程中的漏洞可能允許未經身份驗證的遠程攻擊者在映像注冊過程中注入在 NFVIS 主機的Root級別執行的命令。
此漏洞是由于輸入驗證不當造成的。攻擊者可以通過說服主機上的管理員安裝帶有精心制作的元數據的 VM 映像來利用此漏洞,該元數據將在 VM 注冊過程中以root級權限執行命令。成功的利用可能允許攻擊者將具有root級別權限的命令注入 NFVIS 主機。
3.CVE-2022-20780 CVSS評分:7.4 高
思科企業 NFVIS 導入功能中的漏洞可能允許未經身份驗證的遠程攻擊者將系統數據從主機泄漏到任何已配置的虛擬機。
此漏洞是由于 XML 解析器中的外部實體解析造成的。攻擊者可以通過說服管理員導入一個精心制作的文件來利用此漏洞,該文件將從主機讀取數據并將其寫入任何已配置的 VM。成功的利用可能允許攻擊者在任何已配置的 VM 上從主機訪問系統信息,例如包含用戶數據的文件。
受影響產品
Cisco Enterprise NFVIS 4.7.1之前軟件版本
解決方案
Cisco Enterprise NFVIS 升級至4.7.1版本可修復此漏洞。
查看更多漏洞信息 以及升級請訪問官網:
https://tools.cisco.com/security/center/publicationListing.x
本文鏈接:http://www.www897cc.com/showinfo-119-2311-0.html云安全日報220506:思科企業NFV基礎架構軟件發現訪客逃逸漏洞,需要盡快升級
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
Copyright ? 2016-2023 天津谷騏科技有限公司 版權所有 sitemap.xml
違法及侵權請聯系:2376512515@qq.com 津ICP備18001702號
津公網安備 12010102000574號