cisco identity_services_engine 密码学签名的验证不恰当

CVE编号

CVE-2019-1736

利用情况

暂无

补丁情况

N/A

披露时间

2020-09-23

漏洞描述

Cisco UCS C-Series是美国思科（Cisco）公司的一款C系列机架式服务器。
Cisco UCS C-Series Rack Servers中的固件存在数据伪造漏洞，该漏洞源于程序无法正确验证服务器固件更新镜像。攻击者可利用该漏洞利用该漏洞绕过签名验证检查并加载未被Cisco签名的软件镜像。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200219-ucs-boot-bypass

参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	cisco	identity_services_engine	2.4(0.357)	-
	运行在以下环境
	应用	cisco	identity_services_engine	2.6(0.156)	-
	运行在以下环境
	应用	cisco	unified_computing_system	3.2(3h)c	-
	运行在以下环境
	系统	alpine_3.12	salt	*		Up to (excluding) 2019.2.3-r0
	运行在以下环境
	系统	alpine_3.13	salt	*		Up to (excluding) 2019.2.3-r0
	运行在以下环境
	系统	alpine_edge	salt	*		Up to (excluding) 2019.2.3-r0
	运行在以下环境
	系统	debian_10	salt	*		Up to (excluding) 1.18.2-1
	运行在以下环境
	系统	debian_8	salt	*		Up to (excluding) 1.17-6+deb8u1
	运行在以下环境
	系统	debian_9	salt	*		Up to (excluding) 1.17-9
	运行在以下环境
	系统	opensuse_Leap_15.0	salt	*		Up to (excluding) 1.17-lp150.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	salt	*		Up to (excluding) 1.17-lp151.3.3.1
	运行在以下环境
	系统	suse_12_SP4	salt	*		Up to (excluding) 1.17-3.3.1

攻击路径物理
攻击复杂度低
权限要求低
影响范围未更改
用户交互无
可用性高
保密性高
完整性高

CVSS:3.1/AV:P/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-347 密码学签名的验证不恰当

正文

cisco identity_services_engine 密码学签名的验证不恰当

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Jazz Reporting Service-Rational-CLM安全绕过管理任务执行漏洞

IBM Jazz Reporting Service up to 5.0.2/6.0.0 Report Builder 跨站脚本攻击

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

发表评论取消回复

还没有评论，来说两句吧...

目录[+]