В Cisco Nexus Dashboard закрыли дыру, допускающую выполнение команд от root

В Cisco Nexus Dashboard закрыли дыру, допускающую выполнение команд от root

В Cisco Nexus Dashboard закрыли дыру, допускающую выполнение команд от root

Cisco устранила опасные уязвимости в системе Cisco Nexus Dashboard, предназначенной для управления данными. Эти бреши, если их использовать в атаке, позволяют удалённому злоумышленнику выполнить команды с правами администратора или root.

Одна из уязвимостей под идентификатором CVE-2022-20857 получила статус критической. В случае эксплуатации она открывает доступ к API. Отправляя специально подготовленные HTTP-запросы, атакующий может удалённо выполнить произвольные команды с правами root.

Второй баг CVE-2022-20861 (высокая степень опасности) затрагивает пользовательский веб-интерфейс и позволяет условному киберпреступнику провести атаку вида CSRF (Cross-site request forgery — межсайтовая подделка запроса). Для эксплуатации достаточно заставить администратора пройти по определённой ссылке.

Ещё одна брешь, также получившая высокую степень риска, отслеживается под идентификатором CVE-2022-20858. С её помощью удалённый злоумышленник может загрузить образ контейнера или «залить» вредоносные образы.

По словам Cisco, уязвимости затрагивают Nexus Dashboard 1.1 и более поздние версии системы. С выходом 2.2(1e) проблемы в безопасности были устранены.

Cisco Nexus Dashboard Release First Fixed Release
1.1 (not affected by CVE-2022-20858) Migrate to a fixed release.
2.0 Migrate to a fixed release.
2.1 Migrate to a fixed release.
2.2 2.2(1e)

 

К слову, указанные бреши выявила команда исследователей Cisco Advanced Security Initiatives Group (ASIG) в ходе внутреннего аудита безопасности. Ни одна из дыр не используется в реальных атаках злоумышленников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Windows 11 получила интеграцию с 1Password в новой Dev-сборке

Microsoft выпустила первую превью-версию Windows 11 25H2 для участников Dev-канала программы Windows Insider. Пока изменений не так много, но среди них есть одна действительно любопытная фишка — глубокая интеграция с менеджерами паролей.

Первыми на эту новинку откликнулись ребята из 1Password. Теперь Windows Security может использовать passkey, хранящиеся в этом менеджере паролей.

Причём все новые ключи по умолчанию тоже будут сохраняться туда, а не в «родную» систему Windows.

Чтобы всё это заработало, нужно обновиться до Dev-сборки 26200.5670 (KB5060838) и установить бету 1Password. Есть надежда, что поддержку добавят и в стабильную версию Windows 11 24H2 — чуть позже, с одним из накопительных апдейтов.

Кроме 1Password-интеграции, в сборке починили кучу мелких (и не очень) багов:

  • Исправили вылеты домашней страницы «Проводника», особенно при первом запуске.
  • Больше нет дублей в списке, если тыкать на закреплённые в меню «Пуск» директории.
  • Устранён баг с ctfmon.exe, который вылетал слишком часто и мешал вводу текста.
  • Починили утечку памяти, связанную с показом слайд-шоу на экране блокировки.
  • Вернули нормальный звук загрузки Windows 11, вместо случайного «ретро» из Vista.
  • Сделали надписи в диалоговых окнах более чёткими и читаемыми.
  • Настройки отображения иконок на рабочем столе больше не сбрасываются.

Есть и ложка дёгтя: некоторые пользователи жалуются на ошибку установки 0x80070005 — система откатывает обновление. Microsoft знает о проблеме и работает над решением.

А пока временный лайфхак: зайти в Настройки → Система → Восстановление и попробовать установить апдейт ещё раз через Windows Update.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru