افتانا 24 ارديبهشت 1398 ساعت 14:59 http://www.aftana.ir/fa/doc/news/15358/آسیب-پذیری-esc-برطرف -------------------------------------------------- به‌روزرسانی سیسکو عنوان : آسیب‌پذیری در ESC برطرف شد -------------------------------------------------- سيسکو در یک به‌روزرسانی امنيتی، آسيب‌پذيری بحرانی موجود در ESC را برطرف کرد. متن : ‫سيسکو در به روزرسانی امنيتی خود، آسيب پذيری بحرانی موجود در کنترل کننده خدمات الاستیکی سیسکو (ESC) را برطرف کرد. ‫ به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سیسکو به روزرسانی های امنیتی را برای رفع یک ‫آسیب پذیری بحرانی منتشر کرد که ابزار اتوماسیون خودکار مجازی این شرکت را با نام کنترل کننده خدمات الاستیکی سیسکو (ESC) تحت تأثیر قرار می دهد. مهاجم می تواند این نقص را از راه دور مورد سوءاستفاده قرار دهد و کنترل سیستم های آسیب دیده را به دست آورد. ESC، مدیر توابع مجازی شبکه است که به شرکت های تجاری امکان می دهد به طور خودکار، استقرار و نظارت بر توابع در حال اجرا بر روی ماشین های مجازی خود را انجام دهند. این آسیب پذیری دور زدن احراز هویت (CVE-۲۰۱۹-۱۸۶۷) که دارای امتیاز CVSS ۱۰ است و یک نقص حیاتی به شمار می آید، به دلیل اعتبارسنجی نامناسب درخواست های API در تابع REST است. REST ارتباط بین مشتری و سرور مبتنی بر وب است که از محدودیت های انتقال حالت نمایندگی (REST) استفاده می کند. یک آسیب پذیری در REST API از ESC می تواند به مهاجم ناشناس برای دور زدن احراز هویت در REST API کمک کند. مهاجم می تواند با ارسال یک درخواست ساخته شده به REST API از این آسیب پذیری بهره برداری کند. یک سوءاستفاده موفق می تواند به مهاجم اجازه دهد تا عملیات دلخواه را از طریق REST API و با اختیارات اداری در سیستم آسیب دیده اجرا کند. این نقص نسخه های ۴.۱، ۴.۲، ۴.۳، یا ۴.۴ از کنترل کننده خدمات الاستیکی سیسکو که حالت REST API در آنها فعال است، تحت تأثیر قرار می دهد (REST API به طور پیش فرض فعال نیست). سیسکو اعلام کرد که هیچ نشانه ای از سوءاستفاده گسترده از این آسیب پذیری وجود ندارد و این شرکت آن را با انتشار نسخه ۴.۵ رفع کرده است. به کاربران توصیه می شود وصله هایی که برای این رفع این آسیب پذیری منتشر شده اند به کار گیرند. این وصله ها برای نسخه های زیر در دسترس هستند: