Cisco HyperFlex zaifliklari root imtiyozlariga kirish imkonini beradi
Cisco o’zining bir qator mahsulotlaridagi 15 ta zaiflikni tuzatdi.
Cisco oʻzining bir qator mahsulotlari uchun 15 ta xavfsizlik yangilanishini chiqardi. Boshqa narsalar qatorida, yamalar tajovuzkorlarga qurilmada root imtiyozlarini olish imkonini beradigan ikkita jiddiy zaiflikni va autentifikatsiyani chetlab oʻtadigan yana bir zaiflikni tuzatadi. Tajovuzkorlarga root imtiyozlarini olish imkonini beradigan zaifliklar maʼlumotlar markaziga ulanish uchun dasturiy taʼminot mahsuloti boʻlgan Cisco HyperFlexda tuzatildi. Ulardan eng jiddiyi CVE-2018-15380 boʻlib, u maksimal 10 balldan 8,8 ball olgan. Muammo foydalanuvchi buyruqlarini qayta ishlashda kirish maʼlumotlarining yetarlicha tasdiqlanmaganligidan kelib chiqadi.
Ikkinchi zaiflik (CVE-2019-1664) HyperFlex dasturiy ta’minotidagi hxterm xizmatiga ta’sir qiladi va ruxsatsiz mahalliy hujumchiga barcha klaster tugunlariga superuser kirish huquqini olish imkonini beradi. Jiddiylik reytingi shkalasida ushbu zaiflik maksimal 10 balldan 8,1 ball oldi. Yuqorida tavsiflangan ikkala zaiflik ham Cisco mutaxassislari tomonidan ichki sinov paytida aniqlandi.
Cisco Prime Collaboration Assurance (PCA) hamkorlik yechimida yana bir zaiflik (CVE-2019-1662) tuzatildi. Muammo ovozli xabar berish sifati (QOVR) xizmatiga ta’sir qiladi. Bu tajovuzkorga faqat foydalanuvchining tasdiqlangan foydalanuvchi nomini kiritish orqali maqsadli hisobga kirish imkonini beradi.
Cisco ma’lumotlariga ko’ra, 15 ta yamalgan zaiflikning hech biri real hayotdagi hujumlarda foydalanilmagan. Biroq, foydalanuvchilarga yangilanishlarni o’rnatish tavsiya etiladi, chunki tajriba shuni ko’rsatadiki, Cisco mahsulotlaridagi zaifliklardan foydalanish ular nashr etilganidan yoki kontseptsiyani isbotlovchi ekspluatatsiyalar paydo bo’lganidan keyin bir necha kun ichida boshlanadi.
