6月7日,思科公司發(fā)布了安全更新，修復了思科應用策略基礎設施控制器 (APIC) 和思科云應用策略基礎設施控制器 (Cloud APIC)中發(fā)現(xiàn)的特權升級漏洞。以下是漏洞詳情：ug428資訊網(wǎng)——每日最新資訊28at.com

漏洞詳情ug428資訊網(wǎng)——每日最新資訊28at.com

來源：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-chvul-CKfGYBh8ug428資訊網(wǎng)——每日最新資訊28at.com

CVE-2021-1579 CVSS評分：8.1 高ug428資訊網(wǎng)——每日最新資訊28at.com

思科應用策略基礎設施控制器 (APIC) 和思科云應用策略基礎設施控制器 (Cloud APIC) 的 API 端點中的漏洞可能允許具有管理員 只讀憑據(jù)的經(jīng)過身份驗證的遠程攻擊者提升受影響系統(tǒng)的權限。ug428資訊網(wǎng)——每日最新資訊28at.com

此漏洞是由于基于角色的訪問控制 (RBAC) 不足造成的。具有管理員 只讀憑據(jù)的攻擊者可以通過使用具有管理員寫入憑據(jù)的應用發(fā)送特定API請求來利用此漏洞。成功的利用可能允許攻擊者在受影響的設備上將權限提升為具有寫入權限的管理員。ug428資訊網(wǎng)——每日最新資訊28at.com

受影響產品ug428資訊網(wǎng)——每日最新資訊28at.com

對于Cisco APIC 和 Cisco Cloud APIC 5.2之前版本，如果設備已安裝并啟用了具有管理員寫入權限的應用，此漏洞會影響這些設備。ug428資訊網(wǎng)——每日最新資訊28at.com

要確定設備是否具有啟用管理員寫入功能的應用程序，請執(zhí)行以下操作：ug428資訊網(wǎng)——每日最新資訊28at.com

1.打開 Web UI 并單擊應用程序選項卡。ug428資訊網(wǎng)——每日最新資訊28at.com

2.將鼠標指針懸停在已安裝并啟用的應用程序上（顯示打開）。右上角會出現(xiàn)四個圖標。ug428資訊網(wǎng)——每日最新資訊28at.com

3.單擊最左側的圖標以查看應用程序的權限和權限級別。如果顯示Permissions:admin和Permission Level:write，則表明設備受到該漏洞的影響。ug428資訊網(wǎng)——每日最新資訊28at.com

解決方案ug428資訊網(wǎng)——每日最新資訊28at.com

Cisco APIC 或 Cisco Cloud APIC 3.2以及之前版本升級至3.2(10f)版本可修復ug428資訊網(wǎng)——每日最新資訊28at.com

Cisco APIC 或 Cisco Cloud APIC 3.2 ~ 4.2之間版本升級至4.2(7l)版本可修復ug428資訊網(wǎng)——每日最新資訊28at.com

Cisco APIC 或 Cisco Cloud APIC 4.2 ~ 5.2之間版本升級至5.2(2f)版本可修復ug428資訊網(wǎng)——每日最新資訊28at.com

查看更多漏洞信息 以及升級請訪問官網(wǎng)：ug428資訊網(wǎng)——每日最新資訊28at.com

https://tools.cisco.com/security/center/publicationListing.xug428資訊網(wǎng)——每日最新資訊28at.com

本文鏈接：http://www.www897cc.com/showinfo-119-2367-0.html云安全日報220609：思科云應用策略基礎設施控制器發(fā)現(xiàn)特權升級漏洞，需要盡快升級

聲明：本網(wǎng)頁內容旨在傳播知識，若有侵權等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇： 云計算核心技術Docker教程：使用 Compose 文件部署注冊服務器

下一篇： 阿里云發(fā)布云數(shù)據(jù)中心專用處理器CIPU 替代CPU成為新管控加速中心