Ejecución de comandos en Cisco UCS Central

Cisco ha confirmado una vulnerabilidad en Cisco UCS Central (versiones 1.2 y anteriores) que podría permitir a un atacante remoto sin autenticar ejecutar comandos arbitrarios en los sistemas afectados.

Cisco Unified Computing System (UCS) viene a unificar los recursos de informática, servidores, redes, gestión, virtualización y acceso a almacenamiento en una misma arquitectura integrada. Cisco UCS Central proporciona una solución de administración escalable para los entornos Cisco UCS; gestionando múltiples dominios, con miles de servidores, desde un único panel.

La vulnerabilidad, con CVE-2015-0701 y CVSS de 10, se debe a una validación inadecuada de las entradas. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de peticiones HTTP manipuladas al dispositivo afectado, lo que le permitiría ejecutar comandos arbitrarios con permisos de "root".

Se ven afectadas las versiones del software 1.2 e inferiores. Cisco ha publicado la versión 1.3(1a) destinada a corregir este problema, disponible para descarga desde:

https://software.cisco.com/download/release.html?mdfid=284308174&release=1.3%281a%29&relind=AVAILABLE&i=rm&softwareid=284308194&rellifecycle=&reltype=latest

Más información:

Cisco UCS Central Software Arbitrary Command Execution Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150506-ucsc

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

una-al-día | Hispasec

viernes, 8 de mayo de 2015

Ejecución de comandos en Cisco UCS Central

No hay comentarios:

Publicar un comentario