思科解決思科基礎許可證管理器中的SQL注入漏洞
據悉,思科釋出了安全更新,以解決思科基礎許可證管理器(CiscoPrime License Manager)網頁框架程式碼中的安全漏洞,攻擊者可利用該漏洞執行任意SQL查詢。
思科修復了思科基礎許可證管理器(CiscoPrime License Manager)中的漏洞,未經身份驗證的遠端攻擊者可利用該漏洞執行任意SQL查詢。
該漏洞源於使用者輸入的SQL查詢中缺乏正確的驗證。 攻擊者可通過向易受攻擊的應用程式傳送其製作的HTTP POST請求來觸發漏洞,該請求中包含惡意SQL語句 。
思科釋出通知表示,“思科基礎許可證管理器(CiscoPrime License Manager)網頁框架程式碼中的安全漏洞可允許未經身份驗證的遠端攻擊者執行任意SQL查詢。”
“該漏洞源於使用者輸入的SQL查詢中缺乏正確的驗證。攻擊者可通過向受影響的應用程式傳送其製作的、包含惡意SQL語句的HTTP POST請求來利用該漏洞。成功發起攻擊後,攻擊者可修改或刪除PLM資料庫中的任意資料,或者利用postgres使用者特權獲得shell訪問許可權。”
該漏洞由沙特資訊科技公司(SaudiInformation Technology Company)蘇哈伊爾·阿拉斯加(SuhailAlaskar)報告。該漏洞感染了思科基礎許可證管理器版本11.0.1後,又感染了思科基礎許可證管理器的獨立部署與及集中部署,在集中部署中,基礎許可證管理器作為思科統一通訊管理器(Cisco Unified Communications Manager)與思科統一連線(Cisco Unity Connection)安裝包的一部分而被自動安裝。
由於思科統一通訊管理器與思科統一連線釋出的版本12.0及後續版本更新中不再包含基礎許可證管理器,故這些更新版本並未受該漏洞感染。
為解決思科基礎許可證管理器中的漏洞, 思科釋出了補丁ciscocm.CSCvk30822_v1.0.k3.cop.sgn,目前尚無其他辦法可解決該漏洞 。
該公司還表示,“思科基礎許可證管理器釋出的補丁ciscocm.CSCvk30822_v1.0.k3.cop.sgn中已修復該漏洞。同樣的COP檔案可用於思科基礎許可證管理器的獨立部署,以及思科統一通訊管理器與思科統一連線受感染版本的集中部署。”
思科並未注意到利用該漏洞進行的外部攻擊。
E安全注:本文系E安全由國外公開媒體蒐集並獨家編譯報道,轉載請聯絡授權,並保留出處與連結,不得刪減內容。聯絡方式:① 微信號j871798128②郵箱②郵箱[email protected]
@E安全,最專業的前沿網路安全媒體和產業服務平臺,每日提供優質全球網路安全資訊與深度思考,歡迎關注微信公眾號「E安全」(EAQapp),或登E安全入口網站戶網站戶網站戶網站www.easyaq.com , 查 , 檢視更多精彩內容。