More

    Cisco vá lỗ hổng nghiêm trọng trong công cụ quản lý bản quyền

    Cisco Systems cảnh báo về một lỗ hổng nghiêm trọng trong hai công cụ quản lý bản quyền của Cisco, cho phép kẻ tấn công từ xa chưa xác thực thực hiện các truy vấn tùy ý. Thực hiện thành công hacker có thể sửa đổi và xóa dữ liệu ngẫu nhiên trong các ứng dụng quản lý vòng đời sản phẩm của Cisco.

    Ciso đã đưa ra khuyến cáo an ninh vào ngày 28/11 và cho biết hiện vẫn chưa có giải pháp xử lý lỗi này, những khách hàng bị ảnh hưởng sẽ phải download bản vá phần mềm. Theo Hệ thống chấm điểm lỗ hổng CVSS, mức độ nguy hiểm của lỗ hổng này là 9,8/10.

    Lỗ hổng CVE-2018-15441 liên quan tới mã web framework của Cisco Prime License Manager Prime (sản phẩm quản lý bản quyền dành cho doanh nghiệp), có thể cho phép kẻ tấn công từ xa chưa xác thực thực hiện các truy vấn ngôn ngữ mang tính cấu trúc (SQL) tùy ý. Đây là một ngôn ngữ chuẩn cho việc giao tiếp với các cơ sở dữ liệu có liên quan.

    “Lỗ hổng này bắt nguồn từ việc xác thực không đầy đủ đầu vào do người dùng cung cấp trong các truy vấn SQL. Kẻ tấn công có thể khai thác lỗ hổng bằng cách gửi các yêu cầu HTTP POST tự tạo có chứa các câu lệnh SQL độc hại tới một ứng dụng bị ảnh hưởng. Sau khi khai thác thành công, hacker có thể sửa đổi và xóa dữ liệu tùy ý trong cơ sở dữ liệu PLM hoặc chiếm quyền truy cập shell access với các đặc quyền người dùng postgres”.
    Các phiên bản Cisco Prime License Manager Releases từ 11.0.1 trở lên đều bị ảnh hưởng. Ngoài ra, 2 sản phẩm Cisco Unified Communications Manager and Cisco Unity Connection cũng có nguy cơ bị khai thác bởi lỗ hổng trên.

    Mặc dù chưa có có giải pháp xử lý, nhưng quản trị viên cần cài đặt thủ công phần mềm để vá lỗ hổng. Bản vá cho Cisco Prime License Manager “ciscocm.CSCvk30822_v1.0.k3.cop.sgn” đã được phát hành tại Trung tâm Phần mềm của Cisco. Theo Cisco, chưa có ghi nhận nào về việc lỗ hổng đang bị khai thác trong thực tế.

    Theo Threatpost​

    Bài Viết Mới

    Làm sao đặt hình ảnh làm nền Powerpoint?

    Điều thú vị là mọi người có thể sử dụng bất kỳ hình ảnh nào họ muốn để đặt làm nền PowerPoint...

    Ai hưởng lợi nếu Huawei sụp đổ?

    Bất ngờ vượt qua Samsung để trở thành nhà sản xuất smartphone lớn nhất thế giới trong quý II, tuy nhiên tập...

    Smartphone bí ẩn mà LG sắp ra mắt: Đưa công nghệ của Iron Man bước ra đời thực

    Sản phẩm mang nhiều tham vọng của LG được mô tả là “mang đến những trải nghiệm mà chưa có bất kỳ...

    NaviBank tuyển dụng IT

    Mô tả công việc Xử lý các sự cố, tiếp nhận và giải đáp các yêu cầu, thắc...

    Zalo PC giúp giáo viên dạy học hiệu quả trong mùa dịch Covid-19

    Tận dụng các tính năng của Zalo PC để hỗ trợ việc dạy và học, nhà trường có thể hạn chế sự...

    Related Stories

    Stay on op - Ge the daily news in your inbox