Biztonsági hibákat foltozott a Cisco

A Cisco több mint egy tucat sebezhetőséget orvosolt az IOS és az IOS XE kapcsán.
 

A Cisco IOS előre tervezett módon évente kétszer kap nagyobb biztonsági frissítést: a vállalat márciusban és szeptemberben adja ki a hibajavításait. Az idei első nagyobb foltozgatásra a héten sor is került, amelynek keretében tizenhat sérülékenységnek intettek búcsút a fejlesztők. Ezek elsősorban az alábbi összetevőket, illetve protokollok támogatását érintik:
Autonomic Network Infrastructure (ANI), 
Common Industrial Protocol (CIP), 
multicast Domain Name System (mDNS), 
TCP, 
Virtual Routing and Forwarding (VRF)
Internet Key Exchange version 2 (IKEv2).

A sebezhetőségek többsége szolgáltatásmegtagadási támadásokat segíthet elő. Így például VRF-támogatással működő interfészeken speciálisan összeállított ICMPv4 üzenetekkel megbéníthatóvá válhatnak az érintett hálózati eszközök. Ennek az az oka, hogy az IOS az üzenetek feldolgozását követően esetenként nem üríti ki a csomagok kezelésére szolgáló várólistáját, ami végül ahhoz vezet, hogy az értékes csomagok feldolgozása is meghiúsul az adott interfészen. Ugyancsak DoS-kockázatot vet fel az mDNS csomagok esetenkénti nem megfelelő kezelése is. Ekkor a támadóknak nincs más dolguk, mint az 5353-as UDP portra speciálisan összeállított csomagokat küldeni.

A Cisco hangsúlyozta, hogy a feltárt sebezhetőségek akár távolról is kihasználhatóvá válhatnak anélkül, hogy ahhoz a támadóknak bármiféle hitelesítési eljáráson át kellene jutniuk. Ugyanakkor a vállalatnak egyelőre nincs tudomása olyan támadásról, melynek során a szóban forgó biztonsági rések kihasználására sor került volna. Persze ettől még nem célszerű halogatni az IOS frissítését, és a hibajavításokat a patch menedzsment követelményeknek megfelelően minél előbb érdemes telepíteni.
 
  1. 4

    Az Amavis fejlesztői egy biztonsági hibáról számoltak be.

  2. 3

    Az Apple egy biztonsági rést foltozott be az Xcode esetében.

  3. 2

    Az Apple iTunes for Windows szoftverhez egy biztonsági frissítés érkezett.

  4. 4

    A Microsoft Edge webböngésző két sebezhetőség miatt szorul frissítésre.

  5. 4

    A Fortinet egy súlyos sebezhetőségről számolt be.

  6. 3

    Az Adobe egy biztonsági hibát javított a ColdFusionben.

  7. 4

    Az Adobe két sebezhetőségről számolt be a Premiere Pro kapcsán.

  8. 4

    Az Adobe Lightroom egy fontos frissítést kapott.

  9. 3

    Az Adobe 46 biztonsági rést foltozott be az Experience Manageren.

  10. 4

    A Windows ismét jelentős mennyiségű hibajavítást kapott.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség