Cisco NX-OS存在缓冲区溢出和命令注入漏洞
漏洞编号:CVE-2019-1767 CVE-2019-1768
风险等级:高危
CVSS分值:7.2
受影响版本:
Cisco Bug ID ≧ CSCvi99288
漏洞描述:
根据获取的版本,Cisco NX-OS受到特定CLI命令的实施中的漏洞的影响,可能允许具有管理员凭据的经过身份验证的本地攻击者导致缓冲区溢出情况或执行命令注入。这可能允许攻击者在受影响设备的底层操作系统上以提升的权限执行任意命令。该漏洞是由于对传递给某个CLI命令的参数的验证不充分。攻击者可以通过将恶意输入作为受影响的CLI命令的参数来利用此漏洞。成功利用可能允许攻击者使用root权限在底层操作系统上执行任意命令。攻击者需要有效的管理员凭据才能利用此漏洞。 (CVE-2019-1767)(CVE-2019-1768)
请参考:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvh76132
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvh76129
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvj00497
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvj10162
修复建议:
1、最终解决方法:
- 升级到 Cisco Bug ID CSCvi99284, CSCvh24788, CSCvi99282, CSCvi99288中引用的相关固定版本。