### 关键漏洞信息 #### 漏洞概述 - **CVE-2020-5483**: 通过CLI访问系统shell和执行任意命令。 - **CVE-2020-5484**: 配置文件中包含的密码以明文形式存储。 - **CVE-2020-5485**: 通过API访问受限用户。 - **CVE-2020-5486**: 通过指定协议升级映像验证绕过。 #### 影响软件 - **Data Monitoring Fabric**: DMF R1.7及以下版本,UMF R3.5及以下版本,DMF R4.5及以下所有版本。 - **Converged Cloud Fabric**: CCF 2.3.2及所有后续版本。 - **Cloud Vision Appliance**: 所有版本的CVA 7.0.x。 - **Multi-Cloud Director**: MCD 2.4.2及所有后续版本。 #### 影响平台 - **CloudVision Appliance (CVA)**: 运行CloudVision Appliance 7.0.x软件的所有型号。 - **Device Collector Appliance (DCA)**: DCA 200 CV。 - **Device Collector Appliance (DCA)**: DCA 250 CV。 - **Device Collector Appliance (DCA)**: DCA 200 CV。 - **Arista EOS-based products**: 710 Series、7200R Series、7280R Series等。 - **Arista vEOS-based products**: vEOS Edge、vEOS Cloud、vEOS Lab等。 #### 利用所需配置 - **CVE-2020-5483**: 非管理员用户必须能够登录到系统。 - **CVE-2020-5484**: 非管理员用户必须能够登录到系统。 - **CVE-2020-5485**: 用户必须具有REST API访问权限。 - **CVE-2020-5486**: 用户必须具有REST API访问权限。 #### 妥协指标 - **CVE-2020-5483**: 使用`debug developer`命令的日志记录。 - **CVE-2020-5484**: 明文密码在配置文件中。 - **CVE-2020-5485**: 通过API访问受限用户的日志。 - **CVE-2020-5486**: 下载的映像与已发布的哈希值不匹配。 #### 缓解措施 - **CVE-2020-5483**: 禁止非管理员用户登录直到安装升级版本。 - **CVE-2020-5484**: 删除任何受控用户直到安装升级版本。 - **CVE-2020-5485**: 禁止非管理员用户登录直到安装升级版本。 - **CVE-2020-5486**: 下载的映像必须与已发布的哈希值匹配。 #### 解决方案 - 升级到推荐的软件版本。