2016.07.21

시스코, 관리 소프트웨어 내에 크리티컬 취약점 패치

Michael Cooney | Network World
시스코는 공격자들이 원격으로 신원 증명이 가능하게 악용할 수 있는 자체 UCS(Unified Computing System) 성능 관리 소프트웨어 내 크리티컬 취약점을 패치했다.

시스코 UCS 성능관리 버전 2.0.0과 이전 버전에 영향을 주는 이 문제는 버전 2.0.1과 이후 버전은 해결됐다. UCS 성능관리는 UCS 서버, 네트워크, 스토리지, 가상머신에 대한 정보를 수집한다. 시스코에 따르면, 이번 취약점은 HTTP GET 요청을 통해 통과되는 한도를 허용하는 입력 유효성(input validation)의 불안정함에 원인이 있었다.

공격자는 시스템에 침입하기 위해 HTTP GET 요청을 보내는 술책에 이 취약점을 악용할 수 있었다. 이 악용을 통해 공격자는 루트 사용자의 특권과 함께 임의의 명령을 실행할 수 있다.

시스코는 해당 취약점에 대한 소프트웨어 업데이트를 발표하면서 이 취약점을 회피하기 위한 제2의 해결방법은 없다고 말했다. 이번 패치는 최근 시스코가 보안 픽스를 발표한 직후에 이뤄진 것이다. 이달 초, 시스코는 네트워킹 기기와 시스코 웹엑스(Cisco WebEx) 컨퍼런싱 서버 용 자체 IOS 소프트웨어 내 취약점을 위한 패치를 발표한 바 있다. editor@itworld.co.kr


2016.07.21

시스코, 관리 소프트웨어 내에 크리티컬 취약점 패치

Michael Cooney | Network World
시스코는 공격자들이 원격으로 신원 증명이 가능하게 악용할 수 있는 자체 UCS(Unified Computing System) 성능 관리 소프트웨어 내 크리티컬 취약점을 패치했다.

시스코 UCS 성능관리 버전 2.0.0과 이전 버전에 영향을 주는 이 문제는 버전 2.0.1과 이후 버전은 해결됐다. UCS 성능관리는 UCS 서버, 네트워크, 스토리지, 가상머신에 대한 정보를 수집한다. 시스코에 따르면, 이번 취약점은 HTTP GET 요청을 통해 통과되는 한도를 허용하는 입력 유효성(input validation)의 불안정함에 원인이 있었다.

공격자는 시스템에 침입하기 위해 HTTP GET 요청을 보내는 술책에 이 취약점을 악용할 수 있었다. 이 악용을 통해 공격자는 루트 사용자의 특권과 함께 임의의 명령을 실행할 수 있다.

시스코는 해당 취약점에 대한 소프트웨어 업데이트를 발표하면서 이 취약점을 회피하기 위한 제2의 해결방법은 없다고 말했다. 이번 패치는 최근 시스코가 보안 픽스를 발표한 직후에 이뤄진 것이다. 이달 초, 시스코는 네트워킹 기기와 시스코 웹엑스(Cisco WebEx) 컨퍼런싱 서버 용 자체 IOS 소프트웨어 내 취약점을 위한 패치를 발표한 바 있다. editor@itworld.co.kr


X