June 19, 2019

Language:

CamSA19-26: ចំនុចខ្សោយធ្ងន់ធ្ងរមាននៅក្នុងផលិតផលមួយចំនួនរបស់ក្រុម Cisco

១. ព័ត៌មានទូទៅ

ក្រុមហ៊ុន Cisco បានចេញផ្សាយការជួសជុលទៅលើចំនុចខ្សោយមួយចំនួនដែលមាននៅក្នុងផលិតផល Cisco Prime Infrastructure (PI) និង Evolved Programmable Network (EPN) Manager ដែលគឺជាកម្មវិធីត្រូវបានប្រើប្រាស់ដើម្បីធ្វើការគ្រប់គ្រងទៅលើ wireless និង​ wired network infrastructure និង Ciso Webex ។

ចំនុចខ្សោយទាំងនោះ រួមមានដូចខាងក្រោម៖

CVE-2018-0222, CVE-2018-0268 និង CVE-2018-0271
Cisco PI and EPN ត្រូវបានជួសជុលទៅលើកំហុសឆ្គងមួយចំនួនដែលមានពិន្ទុខ្ពស់បំផុតនៃ Common Vulnerability Score System (CVSS) severity គឺ ១០/១០។ អ្នកវាយប្រហារអាចវាយលុកទៅលើចំនុខ្សោយទាំងនោះដោយការបញ្ជូន (upload) នូវឯកសារមានមេរោគទៅកាន់ administrative web interface។ ការវាយលុកដោយជោគជ័យនឹងអាចឱ្យអ្នកវាយប្រហារធ្វើការដំណើរការកូដជាមួយនឹងសិទ្ធិពេញលេញ (កម្រិតជា root-level) តែម្តង។

CVE-2019-1771, CVE-2019-1772 និង CVE-2019-1773
Cisco Webex Network Recording Player និង Cisco Webex Player សម្រាប់ Microsoft Windows ត្រូវបានជួសជុលកំហុសឆ្គងជាច្រើន។ អ្នកវាយប្រហារអាចវាយលុកទៅលើចំនុចខ្សោយទាំងនោះដោយការបញ្ជូនទៅឱ្យអ្នកប្រើប្រាស់នូវឯកសារ​ (file) Advanced Recording Format (ARF) ឬ WebEx Recording Format (WRF) ដើម្បីបញ្ឆោតអ្នកប្រើឱ្យចុចបើកឯកសារទាំងនោះ ដែលនឹងអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការដំណើការកូដមេរោគពីចំងាយនៅលើប្រព័ន្ធនោះ។ លេខ CVE ត្រូវបានវាយតម្លៃថាមានកម្រិតខ្ពស់ព្រោះវាតម្រូវឱ្យមានអន្តរកម្ម (interaction) ពីអ្នកប្រើ។

២. ផលិតផលដែលរងផលប៉ៈពាល់

  • Cisco Prime Infrastructure before 3.4.1, 3.5, and 3.6
  • Evolved Programmable Network Manager before 3.0.1
  • Cisco Webex Business Suite sites — All Webex Network Recording Player and Webex Player versions before Version WBS39.2.205
  • Cisco Webex Meetings Online — All Webex Network Recording Player and Webex Player versions before Version 1.3.42
  • Cisco Webex Meetings Server — All Webex Network Recording Player versions before Version 2.8MR3 SecurityPatch2, 3.0MR2 SecurityPatch2 or 4.0

៣. ផលវិបាក

ការវាយលុកដោយជោគជ័យទៅលើកំហុសឆ្គងទាំងនោះនឹងអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការគ្រប់គ្រងពេញលេញទាំងស្រុងទៅលើប្រព័ន្ធរបស់អ្នកប្រើប្រាស់ ហើយដំណើរការសកម្មភាពផ្សេងៗ ដូចជាការតំឡើង ឬកែប្រែកម្មវិធីកុំព្យូទ័រ ការបើកមើល ផ្លាស់ប្តូរ ឬលប់ទិន្នន័យ ឬក៏ការបង្កើតគណនីថ្មីនៅលើប្រព័ន្ធជាមួយនឹងពេញលេញជាដើម។

៤. សម្រាប់ព័ត៌មានបន្ថែម

អ្នកប្រើប្រាស់ និងអភិបាលគ្រប់គ្រងត្រូវបានណែនាំឱ្យធ្វើការដោតឡូត​ (download) និងតំឡើងនូវការអាប់ដេតសន្តិសុខជាបន្ទាន់។

សម្រាប់ព័ត៌មានបន្ថែម សូមចូលទៅកាន់វេបសាយដូចខាងក្រោម៖