Cisco ha confirmado una
vulnerabilidad en Cisco UCS Central (versiones 1.2 y anteriores) que podría
permitir a un atacante remoto sin autenticar ejecutar comandos arbitrarios en
los sistemas afectados.
Cisco Unified Computing System (UCS) viene a unificar los recursos de informática, servidores, redes, gestión, virtualización y acceso a almacenamiento en una misma arquitectura integrada. Cisco UCS Central proporciona una solución de administración escalable para los entornos Cisco UCS; gestionando múltiples dominios, con miles de servidores, desde un único panel.
Recursos afectados
- Se ven afectadas las versiones del software
1.2 e inferiores.
Detalle e Impacto de la
vulnerabilidad
- La vulnerabilidad, con CVE-2015-0701 y CVSS
de 10, se debe a una validación inadecuada de las entradas. Un atacante
podría aprovechar esta vulnerabilidad mediante el envío de peticiones HTTP
manipuladas al dispositivo afectado, lo que le permitiría ejecutar
comandos arbitrarios con permisos de "root".
Recomendación
- Cisco ha publicado la versión 1.3(1a) que
corrige el problema, disponible desde:
https://software.cisco.com/download/release.html?mdfid=284308174&release=1.3%281a%29&relind=AVAILABLE&i=rm&softwareid=284308194&rellifecycle=&reltype=latest
Más información:
- Cisco UCS Central Software Arbitrary Command
Execution Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150506-ucsc
