Cisco, Kimlik Hizmetleri Motorundaki güvenlik açıklarını belirler


Cisco Systems’ın ağ erişim denetimi çözümü, kimliği doğrulanmış, uzaktaki bir saldırganın rastgele işletim sistemi komutları enjekte etmesine, güvenlik korumalarını atlamasına ve siteler arası komut dosyası çalıştırma saldırıları gerçekleştirmesine izin verebilecek, Yüksek olarak derecelendirilen beş güvenlik açığına sahiptir.

Cisco Identity Services Engine’deki beş sorundan dördü bu ayın başlarında tespit edildi. Ancak ağ ve güvenlik yöneticileri, Cisco’nun bunlardan dördü için yazılım düzeltmeleri yayınlamasını beklemek zorunda kalacak. Bu delikler için herhangi bir geçici çözüm yoktur, CVE-2022-20964. CVE-2022-20965, CVE-2022-20966 ve CVE-2022-20967

Neyse ki şirket, bunlardan yalnızca geçerli ve yetkili ISE kullanıcıları tarafından yararlanılabileceğini söylüyor. Koruma için, düzeltmeler yayınlanana kadar, ISE yöneticilerinin konsol erişimini ve yönetici web erişimini kısıtlamak için ekstra özen göstermesi gerekir.

için yazılım güncellemeleri yayınlandı. beşinci güvenlik açığıCVE-2022-20961, ISE’nin web tabanlı yönetim arayüzünde kimliği doğrulanmamış, uzak bir saldırganın siteler arası istek sahteciliği (CSRF) saldırısı gerçekleştirmesine ve etkilenen bir cihazda keyfi eylemler gerçekleştirmesine izin verebilecek bir delik olarak tanımlanır,

Bu güvenlik açığı, Cisco diyor, etkilenen bir cihazın web tabanlı yönetim arabirimi için yetersiz CSRF korumalarından kaynaklanmaktadır. Saldırgan, arabirim kullanıcısını hazırlanmış bir bağlantıyı izlemeye ikna ederek bu güvenlik açığından yararlanabilir. Başarılı bir istismar, saldırganın etkilenen cihazda hedef kullanıcının ayrıcalıklarıyla rasgele eylemler gerçekleştirmesine izin verebilir.

Cisco, bir danışma belgesinde dört güvenlik açığını listelerken, bunların istismar için birbirlerine bağımlı olmadıklarını belirtti. Ayrıca, güvenlik açıklarından birinden etkilenen bir yazılım sürümü, diğer güvenlik açıklarından etkilenmeyebilir.

Ayrıca Cisco, ISE’de Orta olarak derecelendirilen bir güvenlik açığı için güvenlik düzeltmeleri yayınladığını söyledi. CVE-2022-20963, ISE’nin web tabanlı yönetim arabirimindeki bir güvenlik açığıdır ve kimliği doğrulanmış, uzaktaki bir saldırganın, etkilenen bir cihazdaki arabirim kullanıcısına karşı siteler arası komut dosyası çalıştırma (XSS) saldırısı gerçekleştirmesine olanak verebilir.




Kaynak : https://www.itworldcanada.com/article/cisco-identifies-vulnerabilities-in-identity-services-engine/515793

SMM Panel PDF Kitap indir Viski Fiyatları Geçici Mail yks pdf indir antrenmanlarla matematik 1 pdf serway fizik 1 pdf ales çıkmış sorular pdf ilahi sözleri 1984 pdf türkçe pdf minecraft premium satın al ilahi sözleri Selçuk Sport Apk İndir