CISCO Data Center Network Manager permite acesso à informações confidenciais

CISCO Data Center Network Manager permite acesso à informações confidenciais. A falha do Cisco Data Center Network Manager permite acesso não autorizado a informações confidenciais. Uma vulnerabilidade no Data Center Network Manager da Cisco pode permitir que um invasor remoto tenha acesso a informações confidenciais.

A vulnerabilidade foi classificada como “Alta” e, se explorada, permitiria que um invasor remoto autenticado realizasse ataques de passagem de diretórios e obtivesse acesso a arquivos confidenciais no sistema alvo, de acordo com um alerta de segurança de 28 de agosto.

O bug é o resultado da validação inadequada da solicitação do usuário dentro da interface de gerenciamento, que pode ser explorada por um invasor enviando “solicitações maliciosas contendo sequências de caracteres de diretório dentro da interface de gerenciamento”, disse o comunicado. O invasor também pode criar arquivos arbitrários nos sistemas de destino.

As versões de software do DCNM (Data Center Network Manager) da Cisco anteriores à versão 11.0 (1) são afetadas pela exploração e atualmente não há soluções alternativas para solucionar a vulnerabilidade. Aqueles que são afetados são encorajados a atualizar seus sistemas o mais rápido possível.

 

Soluções Alternativas

Não há soluções alternativas que abordem essa vulnerabilidade.

 

Software Fixo

A Cisco lançou atualizações gratuitas de software que abordam a vulnerabilidade descrita no comunicado. Os clientes só podem instalar e obter suporte para versões de software e conjuntos de recursos para os quais adquiriram uma licença. Ao instalar, baixar, acessar ou usar essas atualizações de software, os clientes devem concordar em seguir os termos da licença de software da Cisco:
https://www.cisco.com/c/en/us/products/end-user-license-agreement.html

Além disso, os clientes só podem fazer download de software para o qual tenham uma licença válida, obtida diretamente da Cisco ou através de um revendedor ou parceiro autorizado da Cisco. Na maioria dos casos, isso será uma atualização de manutenção para o software que foi adquirido anteriormente. As atualizações gratuitas de software de segurança não dão direito aos clientes a uma nova licença de software, conjuntos de recursos de software adicionais ou grandes atualizações de revisão.

Ao considerar atualizações de software, os clientes são aconselhados a consultar regularmente os avisos dos produtos da Cisco, disponíveis na página de alertas e alertas de segurança da Cisco, para determinar a exposição e uma solução de atualização completa.

Em todos os casos, os clientes devem garantir que os dispositivos a serem atualizados contenham memória suficiente e confirmem que as configurações atuais de hardware e software continuarão sendo suportadas adequadamente pela nova versão. Se as informações não forem claras, os clientes são aconselhados a entrar em contato com o Centro de Assistência Técnica (TAC – Technical Assistance Center) da Cisco ou com os fornecedores de manutenção contratados.

 

Fonte: CISCO Security Advisory & SC Magazine

 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. CISCO divulga patches para 39 vulnerabilidades - 3 Críticas e 10 Altas

Deixe sua opinião!