cisco integrated_management_controller 敏感数据的明文存储

CVE编号

CVE-2019-1627

利用情况

暂无

补丁情况

N/A

披露时间

2019-06-20

漏洞描述

Cisco Integrated Management Controller（IMC）是美国思科（Cisco）公司的一套用于对UCS（统一计算系统）进行管理的软件。该软件支持HTTP、SSH访问等，并可对服务器进行开机、关机和重启等操作。
Cisco Integrated Management Controller中的服务器实用程序存在操作系统命令注入漏洞，该漏洞源于程序未能充分地保护配置文件中的数据，远程攻击者可通过下载配置文件利用该漏洞获取敏感信息，提升权限。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvo01184

参考链接
http://www.securityfocus.com/bid/108847
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	cisco	integrated_management_controller	-	-
	运行在以下环境
	应用	cisco	unified_computing_system	4.0(1c)hs3	-
	运行在以下环境
	系统	alpine_3.10	go	*		Up to (excluding) 1.12.10-r0
	运行在以下环境
	系统	alpine_3.11	go	*		Up to (excluding) 1.13.1-r0
	运行在以下环境
	系统	alpine_3.12	go	*		Up to (excluding) 1.13.1-r0
	运行在以下环境
	系统	alpine_3.13	go	*		Up to (excluding) 1.13.1-r0
	运行在以下环境
	系统	alpine_3.7	go	*		Up to (excluding) 2.6-r6
	运行在以下环境
	系统	alpine_3.8	go	*		Up to (excluding) 2.6-r7
	运行在以下环境
	系统	alpine_3.9	go	*		Up to (excluding) 2.7-r5
	运行在以下环境
	系统	alpine_edge	go	*		Up to (excluding) 1.13.1-r0
	运行在以下环境
	系统	amazon_2	go	*		Up to (excluding) 1.9.4-3.amzn2.0.3
	运行在以下环境
	系统	amazon_AMI	go	*		Up to (excluding) 1.12.8-1.52.amzn1
	运行在以下环境
	系统	debian_10	go	*		Up to (excluding) 1.11.6-1+deb10u2
	运行在以下环境
	系统	debian_8	go	*		Up to (excluding) 2.3-1+deb8u5
	运行在以下环境
	系统	debian_9	go	*		Up to (excluding) 1.7.4-2+deb9u3
	运行在以下环境
	系统	fedora_29	go	*		Up to (excluding) 1.11.13-2.fc29
	运行在以下环境
	系统	fedora_30	go	*		Up to (excluding) 2.9-2.fc30
	运行在以下环境
	系统	fedora_31	go	*		Up to (excluding) 2.9-2.fc31
	运行在以下环境
	系统	fedora_EPEL_6	go	*		Up to (excluding) 1.13.1-1.el6
	运行在以下环境
	系统	fedora_EPEL_7	go	*		Up to (excluding) 2.9-2.el7
	运行在以下环境
	系统	opensuse_Leap_15.0	go	*		Up to (excluding) 1.12.12-lp150.11.1
	运行在以下环境
	系统	opensuse_Leap_15.1	go	*		Up to (excluding) 1.12.12-lp151.2.25.1
	运行在以下环境
	系统	opensuse_Leap_15.2	go	*		Up to (excluding) 2.9-lp152.2.3.1
	运行在以下环境
	系统	oracle_7	go	*		Up to (excluding) 0.0.1-1.0.28.el7
	运行在以下环境
	系统	oracle_8	go	*		Up to (excluding) 1.12.12-4.0.1.module+el8.1.0+5478+8384556e
	运行在以下环境
	系统	suse_12_SP5	go	*		Up to (excluding) 2.9-23.3.1

攻击路径网络
攻击复杂度低
权限要求低
影响范围未更改
用户交互无
可用性无
保密性高
完整性无

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CWE-ID 漏洞类型 CWE-312 敏感数据的明文存储

正文

cisco integrated_management_controller 敏感数据的明文存储

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM Spectrum Protect up to 5.5/6.3.2.4/6.4.3.0/7.1.2 CAD Client Crash 拒绝服务漏洞

Cisco Web Security Appliance devices安全机制绕过漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]