Новости

Cisco устранила уязвимости в своих продуктах

12.03.2018
Cisco устранила уязвимости в своих продуктах

В начале марта 2018 года компания Cisco выпустила ряд обновлений безопасности для своих продуктов, исправляющих 26 уязвимостей, в том числе 4 критические и одну высокой степени опасности.

Критическая уязвимость CVE-2017-3881 затрагивает протокол Cluster Management Protocol (CMP), который поставляется с программным обеспечением Cisco IOS и Cisco IOS XE Software. Уязвимость может позволить злоумышленнику, не прошедшему процедуру аутентификации, удаленно вызвать перезагрузку целевого устройства или выполнить код с повышенными привилегиями. Уязвимость затрагивает большое число продуктов компании Cisco, полный перечень которых представлен в бюллетене безопасности.

Критическая уязвимость CVE-2018-0147 затрагивает систему управления доступом Cisco Secure Access Control System (ACS), ошибка связана с некорректной десериализацией Java-объектов. Эксплуатация уязвимости может позволить злоумышленнику выполнить на устройстве произвольный код с повышенными привилегиями.

Критическая уязвимость CVE-2018-0141 затрагивает программное обеспечение Cisco Prime Collaboration Provisioning (PCP) и может позволить злоумышленнику, не прошедшему процедуру аутентификации, подключиться к операционной системе с помощью Secure Shell (SSH), повысить привилегии и получить контроль над целевой системой.

Критическая уязвимость CVE-2018-0124 затрагивает менеджер доменов унифицированных коммуникаций (Unified Communications Domain Manager, UCDM), возникает из-за некорректной генерации ключей во время настройки системы. Уязвимость может позволить злоумышленнику, не прошедшему процедуру аутентификации, обойти ограничения безопасности, получить повышенные привилегии и выполнить произвольный код.

Уязвимость высокой степени опасности CVE-2018-0087 затрагивает FTP-сервер в составе решения для обеспечения безопасности веб-трафика Cisco Web Security Appliance (WSA). Ошибка связана с некорректной проверкой учетных данных и позволяет удаленному злоумышленнику подключиться к уязвимому серверу, без использования действующих логина и пароля.

Как отмечается в бюллетенях безопасности, указанные критические уязвимости устраняются только установкой соответствующих обновлений.