首页 > 清静研究 > 清静转达 > 清静通告

Cisco SD-WAN Solution 误差清静通告

宣布时间 2019-01-25

误差编号和级别

CVE编号：CVE-2019-1651，，，，，，，危险级别：严重，，，，，，，CVSS分值：厂商自评：9.9，，，，，，，官方未评定

CVE编号：CVE-2019-1648，，，，，，，危险级别：高危，，，，，，，CVSS分值：厂商自评：7.8，，，，，，，官方未评定

影响规模

受影响产品：

CVE-2019-1651：

此误差会影响运行Cisco SD-WAN Solution 18.4.0之前版本的以下思科产品：

vSmart Controller Software

CVE-2019-1648：

此误差会影响运行Cisco SD-WAN Solution 18.4.0之前版本的以下思科产品：

vBond Orchestrator Software

vEdge 100 Series Routers

vEdge 1000 Series Routers

vEdge 2000 Series Routers

vEdge 5000 Series Routers

vEdge Cloud Router Platform

vManage Network Management Software

vSmart Controller Software

误差概述

Cisco vEdge 100 Series Routers等都是美国思科（Cisco）公司的产品。。。。。。SD-WAN Solution是运行在其中的一套网络扩展解决计划。。。。。。Cisco SD-WAN Solution 18.4.0之前版本中保存以下误差，，，，，，，详情如下：

CVE-2019-1651

思科SD-WAN Solution的vContainer中的误差可能允许经由身份验证的远程攻击者导致拒绝效劳条件并以root用户身份执行恣意代码。。。。。。

该误差是由vContainer的不准确界线检查引起的。。。。。。攻击者可以通过发送恶意文件来使用此误差受影响的vContainer实例。。。。。。乐成使用可以允许攻击者在受影响的vContainer上导致缓冲区溢出情形，，，，，，，这可能导致攻击者可以使用DoS条件以root用户身份执行恣意代码。。。。。。

CVE-2019-1648

Cisco SD-WAN Solution的用户组设置中的误差可能允许经由身份验证的外地攻击者获得受影响设惫亓权限提升。。。。。。

该误差是由于未能准确验证某些误差组设置中包括的参数。。。。。。攻击者可以通过将全心设计的文件写入目录来使用此误差，，，，，，，用户组设置位于底层操作系统。。。。。。乐成攻击可能允许攻击者获得根root 权限并完全控制装备。。。。。。

修复建议

现在厂商已宣布升级补丁以修复误差：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-sdwan-bo

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-sdwan-sol-escal

参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-sdwan-bo

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-sdwan-sol-escal

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究