ClickCease Cisco, VMware, 중요한 보안 결함 해결

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

Cisco, VMware, 중요한 보안 결함 해결

2023년 5월 1일 TuxCare 홍보팀

Cisco와 VMware는 악의적인 공격자가 취약한 컴퓨터에서 임의의 코드를 실행하기 위해 악용할 수 있는 심각한 보안 결함을 해결하기 위한 보안 패치를 발표했습니다.

Cisco Industrial Network Director의 명령 주입 취약점(CVE-2023-20036, CVSS 점수: 9.9)은 공격자가 손상된 장치의 기본 운영 체제에서 NT 권한 시스템으로 임의의 명령을 실행할 수 있게 하는 가장 심각한 취약점입니다. 이 문제는 웹 UI 구성 요소에 존재하며 디바이스 팩 업로드 중 잘못된 입력 유효성 검사로 인해 발생합니다.

시스코는 이 두 가지 문제를 발견한 신원이 확인되지 않은 외부 연구원의 공로를 인정했습니다. 또한 시스코는 권한이 있는 로컬 공격자가 개인 데이터에 액세스하기 위해 악용할 수 있는 동일한 제품의 중간 심각도 파일 권한 취약성(CVE-2023-20039, CVSS 점수: 5.5)도 해결했습니다. 수정 사항은 버전 1.11.3에서 확인할 수 있습니다.

또한 시스코는 모델링 랩 네트워크 시뮬레이션 플랫폼의 외부 인증 메커니즘에 또 다른 심각한 결함을 패치했습니다. CVE-2023-20154(CVSS 점수: 9.1)로 확인된 이 취약점은 인증되지 않은 원격 공격자가 웹 인터페이스에 대한 관리 액세스 권한을 얻을 수 있도록 허용할 수 있습니다. 버전 2.5.1이 릴리스되면서 이 결함이 해결되었습니다.

또한 VMware는 여러 버전의 Aria Operations for Logs에 영향을 미치는 심각한 역직렬화 버그에 대한 보안 권고 사항을 발표했습니다(CVE-2023-20864, CVSS 점수: 9.8). VMware Aria Operations for Logs에 대한 네트워크 액세스 권한이 있는 인증되지 않은 악의적 공격자가 루트로 임의의 코드를 실행할 수 있습니다. 이 취약점은 관리자 권한을 가진 공격자가 임의의 명령을 루트로 실행할 수 있는 심각도가 높은 명령 주입 취약점(CVE-2023-20865, CVSS 점수: 7.2)과 함께 VMware Aria Operations for Logs 8.12에서 해결되었습니다. 이 경고는 VMware가 동일한 제품에서 원격 코드 실행으로 이어질 수 있는 두 가지 주요 취약점(CVE-2022-31704 및 CVE-2022-31706, CVSS 점수: 9.8)을 수정한 지 약 3개월 후에 발표되었습니다.

이 글의 출처는 TheHackerNews의 기사입니다.

요약
Cisco, VMware, 중요한 보안 결함 해결
기사 이름
Cisco, VMware, 중요한 보안 결함 해결
설명
Cisco와 VMware는 악의적인 공격자가 악용할 수 있는 심각한 보안 결함을 해결하기 위한 보안 패치를 발표했습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기