سازمان خصوصی سازی خانه پارسیان ، عبور از رمز عبور خدمات دیجیتال بانک ایران زمین؛ تجربه ای متفاوت یک سرویس خوب؛ سرآغاز پیروزی همراه بانک تمام عیار نقش فناوری اطلاعات در تحقق افق 1404 ایران بیمه تجارت نو موسسه اعتباری کوثر
آرشیو اخبار
روز
ماه
سال
پايگاه اطلاع رساني دفتر مقام معظم رهبري پايگاه اطلاع رساني رياست جمهوري اسلامي ايران خانه ملت - خبرگزاري مجلس شوراي اسلامي پرتال جامع قوه قضائيه جمهوري اسلامي ايران logo-samandehi
  • | انصراف
شماره: 464536 تاریخ : 1398/02/24-12:20:49
,15,
به‌روزرسانی امنیتی سیسکو برای رفع آسیب‌پذیری بحرانی موجود در ESC

به‌روزرسانی امنیتی سیسکو برای رفع آسیب‌پذیری بحرانی موجود در ESC

سیسکو به‌روزرسانی‌های امنیتی را برای رفع یک آسیب‌پذیری بحرانی که ابزار اتوماسیون خودکار مجازی این شرکت با نام «کنترل‌کننده‌ی خدمات الاستیکی سیسکو (ESC)» را تحت تأثیر قرار می‌دهد، منتشر کرد. یک مهاجم می‌تواند از راه دور این نقص را مورد سوءاستفاده قرار دهد و کنترل سیستم‌های آسیب‌دیده را به‌دست آورد.

به گزارش پایگاه تحلیلی خبری بانک و صنعت به نقل از مرکز ماهر، ESC، یک مدیر توابع مجازی شبکه است که شرکت‌های تجاری را قادر می‌سازد تا به‌طور خودکار، استقرار و نظارت بر توابع در حال اجرا بر روی ماشین‌های مجازی خود را انجام دهند.

این آسیب‌پذیری دورزدن احراز هویت ("CVE-2019-1867") که دارای امتیاز CVSS 10 است و یک نقص حیاتی به‌شمار می‌آید، به دلیل اعتبارسنجی نامناسب درخواست‌های API در تابع REST است. REST ارتباط بین مشتری و سرور مبتنی بر وب است که از محدودیت‌های انتقال حالت نمایندگی (REST) استفاده می‌کند.
یک آسیب‌پذیری در REST API از ESC می‌تواند به مهاجم ناشناس برای دور زدن احراز هویت در REST API کمک کند.
مهاجم می‌تواند با ارسال یک درخواست ساخته‌شده به REST API، از این آسیب‌پذیری بهره‌برداری کند. یک سوءاستفاده‌ی موفق می‌تواند به مهاجم اجازه دهد تا عملیات دلخواه را از طریق REST API و با اختیارات اداری در سیستم آسیب‌دیده اجرا کند.
این نقص نسخه‌های 4.1، 4.2، 4.3، یا 4.4 از کنترل‌کننده‌ی خدمات الاستیکی سیسکو که حالت REST API در آن‌ها فعال است، تحت تأثیر قرار می‌دهد (REST API به‌طور پیش‌فرض فعال نیست).
سیسکو اعلام کرد که هیچ نشانه‌ای از سوءاستفاده‌ی گسترده از این آسیب‌پذیری وجود ندارد و این شرکت آن‌را با انتشار نسخه‌ی 4.5 رفع کرده است.
به کاربران توصیه می‌شود وصله‌هایی که برای این رفع این آسیب‌پذیری منتشر شده‌اند، به‌کار گیرند. این وصله‌ها برای نسخه‌های زیر در دسترس هستند:

 

نسخه‌ی نر‌م‌افزار کنترل‌کننده‌ی خدمات الاستیکی سیسکو

نسخه‌های نرم‌افزار دارای وصله‌ی منتشرشده

پیش از 4.1

آسیب‌ناپذیر

4.1

4.1.0.100

4.1.0.111

4.2

4.2.0.74

4.2.0.86

4.3

4.3.0.121

4.3.0.128

4.3.0.134

4.3.0.135

4.5

4.4.0.80

4.4.0.82

4.4.0.86

 

آسیب‌نا‌پذیر



ارسال به دوستان با استفاده از:
Memory usage: 204
موج جایزه رو بگیر! رمزت رو فریاد بزن موسسه اعتباری ملل بیمه جامع مجتمع های مسکونی بیمه پارسیان اقشار جدید برخوردار از حمایت های تأمین اجتماعی بانک صنعت و معدن پست بانک ایران بانک خاورمیانه