易商讯
当前位置: 首页 » 网络 » 科技 » 正文

云安全日报220506:思科企业NFV基础架构软件发现访客逃逸漏洞,需要尽快升级

放大字体  缩小字体 发布日期:2022-05-06 19:31:29
导读

Cisco Enterprise NFV Infrastructure Software(NFVIS)是思科公司的一套NFV基础架构软件平台。该平台可以通过中央协调器和控制器实现虚拟化服务的全生命周期管理。5月4日,思科发布了安全公告,思科企业NFV基础架构软件平台发现虚拟机逃逸漏洞,建议尽快升级。以下是漏洞详情:漏洞详情来源:https://tools.cisco.com/securi

Cisco Enterprise NFV Infrastructure Software(NFVIS)是思科公司的一套NFV基础架构软件平台。该平台可以通过中央协调器和控制器实现虚拟化服务的全生命周期管理。

5月4日,思科发布了安全公告,思科企业NFV基础架构软件平台发现虚拟机逃逸漏洞,建议尽快升级。以下是漏洞详情:

漏洞详情

来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-NFVIS-MUL-7DySRX9

1.CVE-2022-20777 CVSS评分:9.9 严重

思科企业 NFVIS 的下一代输入/输出 (NGIO) 功能中的一个漏洞,使得经过身份验证的远程攻击者能够从来宾VM中逃逸,从而在 NFVIS 主机上获得未经授权的Root访问权限。

此漏洞是由于来宾限制不足造成的。攻击者可以通过从 VM 发送 API 调用来利用此漏洞,该调用将在 NFVIS 主机上以root级权限执行。成功的利用可以让攻击者完全破坏 NFVIS 主机。

2.CVE-2022-20779 CVSS评分:8.8 高

思科企业 NFVIS 映像注册过程中的漏洞可能允许未经身份验证的远程攻击者在映像注册过程中注入在 NFVIS 主机的Root级别执行的命令。

此漏洞是由于输入验证不当造成的。攻击者可以通过说服主机上的管理员安装带有精心制作的元数据的 VM 映像来利用此漏洞,该元数据将在 VM 注册过程中以root级权限执行命令。成功的利用可能允许攻击者将具有root级别权限的命令注入 NFVIS 主机。

3.CVE-2022-20780 CVSS评分:7.4 高

思科企业 NFVIS 导入功能中的漏洞可能允许未经身份验证的远程攻击者将系统数据从主机泄漏到任何已配置的虚拟机。

此漏洞是由于 XML 解析器中的外部实体解析造成的。攻击者可以通过说服管理员导入一个精心制作的文件来利用此漏洞,该文件将从主机读取数据并将其写入任何已配置的 VM。成功的利用可能允许攻击者在任何已配置的 VM 上从主机访问系统信息,例如包含用户数据的文件。

受影响产品

Cisco Enterprise NFVIS 4.7.1之前软件版本

解决方案

Cisco Enterprise NFVIS 升级至4.7.1版本可修复此漏洞。

查看更多漏洞信息 以及升级请访问官网:

https://tools.cisco.com/security/center/publicationListing.x

 
(文/Techweb)
免责声明
• 
本文云安全日报220506:思科企业NFV基础架构软件发现访客逃逸漏洞,需要尽快升级链接:http://www.esxun.cn/internet/60108.html 。本文仅代表作者个人观点,请读者仅做参考,如若文中涉及有违公德、触犯法律的内容,一经发现,立即删除,作者需自行承担相应责任。涉及到版权或其他问题,请及时联系我们,我们将在24小时内处理完毕。如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,否则视为放弃相关权利。
 

Copyright © www.esxun.cn 易商讯ALL Right Reserved


冀ICP备2023038169号-3