思科SDN控制器存在root訪問漏洞，思科發(fā)布了軟件補(bǔ)丁，修復(fù)Root訪問漏洞。思科發(fā)布了一份軟件補(bǔ)丁，以修補(bǔ)自家SDN控制器中的漏洞。這個(gè)漏洞能夠讓攻擊者以Root用戶身份訪問系統(tǒng)，并運(yùn)行Root命令。

　　Root命令可以使攻擊者得以訪問所有控制器中的命令和文件。之后，攻擊者可以使用任意方式更改系統(tǒng)配置，為包括Root用戶在內(nèi)的所有用戶提權(quán)或撤權(quán)。

　　思科最近發(fā)布的一份安全通告中稱，共有兩款思科設(shè)備中存在這個(gè)漏洞：應(yīng)用策略設(shè)施控制器(Application Policy Infrastructure Controller，APIC)中的集群管理配置文件、啟用了應(yīng)用中心基礎(chǔ)設(shè)施(Application Centric Infrastructure，ACI)模式的Nexu 9000系列交換機(jī)。漏洞產(chǎn)生的原因是APIC文件系統(tǒng)中實(shí)施了不恰當(dāng)?shù)脑L問控制。

　　攻擊者可以通過訪問APIC中的集群管理配置文件來(lái)利用這個(gè)漏洞。之后攻擊者能夠以Root用戶身份訪問APIC，并執(zhí)行Root級(jí)的命令。

　　受影響的產(chǎn)品包括：軟件版本低于1.1(1j)、1.0(3o)、1.0(4o)的APIC;軟件版本低于11.1(1j)、11.0(4o)的使用ACI模式的Nexus 9000型交換機(jī)。

　　思科已經(jīng)放出了修復(fù)該漏洞的免費(fèi)軟件補(bǔ)丁，目前還沒有除補(bǔ)丁以外的其它替代解決方案。

　　思科在一次內(nèi)部安全評(píng)估會(huì)議上收到了關(guān)于該漏洞的報(bào)告。思科表示，目前還沒有觀察到任何惡意利用該漏洞的跡象。

　　思科也發(fā)布了針對(duì)以下產(chǎn)品的安全通告：VideoScape電視業(yè)務(wù)交付平臺(tái)中的拒絕服務(wù)漏洞、Unified MeetingPlace應(yīng)用中的未授權(quán)更改密碼漏洞、思科IOS TPC和TFTP Server軟件中的拒絕服務(wù)漏洞、ASR 1000邊界路由器中的碎片流量式拒絕服務(wù)漏洞。