Новости

Cisco исправила уязвимости в своих продуктах

30.08.2019
Cisco исправила уязвимости в своих продуктах
28.08.2019 компания Cisco выпустила обновления безопасности, исправляющие одну критическую и пять уязвимостей высокого уровня опасности.

Критическая уязвимость CVE-2019-12643 в виртуальном сервисе API REST программного обеспечения Cisco IOS XE Software может позволить удаленному злоумышленнику обойти процедуру аутентификации в уязвимой системе и повысить свои привилегии. Уязвимость связана с неправильной проверкой HTTP-запросов.

Уязвимость высокого уровня опасности CVE-2019-1962, в Cisco Fabric Services программного обеспечения Cisco NX-OS Software может позволить удаленному злоумышленнику вызвать ошибку типа «отказ в обслуживании» (DoS). Уязвимость связана с недостаточной проверкой TCP-запросов (или пакетов).

Уязвимость высокого уровня опасности CVE-2019-1963, в протоколе сетевого управления (SNMP) программного обеспечения Cisco FXOS и программного обеспечения Cisco NX-OS может позволить удаленному злоумышленнику, прошедшему проверку подлинности, вызвать перезапуск SNMP на уязвимом устройстве. Уязвимость связана с неправильной проверкой переменных, закодированных в пакетах протокола SNMP.

Уязвимость высокого уровня опасности CVE-2019-1964, найдена в процедуре обработки трафика IPv6 программного обеспечения Cisco NX-OS. Ее эксплуатация может позволить удаленному злоумышленнику обойти процедуру аутентификации и вызвать перезапуск процесса netstack на уязвимом устройстве.

Уязвимость связана с неправильной проверкой трафика IPv6, отправляемого через уязвимое устройство. Во время перезапуска процесса netstack злоумышленник может вызвать ошибку типа «отказ в обслуживании» (DoS).

Уязвимость высокого уровня опасности CVE-2019-1965 в компоненте Virtual Shell (VSH) для программного обеспечения Cisco NX-OS может позволить удаленному злоумышленнику, который прошел проверку подлинности, вызвать сбой процесса VSH при завершении работы. Это может привести к увеличению числа процессов VSH, которые со временем могут заполнить системную память. Отсутствие доступной системной памяти, приводит к сбоям.

Уязвимость связана с тем, что при завершении подключения удаленного управления процесс VSH не удаляется должным образом. Злоумышленник может воспользоваться этим, многократно выполняя подключение удаленного управления к устройству и неожиданно прерывая соединение.

Уязвимость высокого уровня опасности CVE-2019-1966 обнаружена в команде CLI локального управления (local-mgmt) для программного обеспечения Cisco UCS Fabric Interconnect. Ее эксплуатация может позволить злоумышленнику, прошедшему проверку подлинности получить привилегии ядра.

Уязвимость связана дополнительными опциями подкоманд для команды CLI компоненты local-mgmt. Успешное использование может позволить злоумышленнику выполнить произвольные команды операционной системы с привилегиями ядра на уязвимом устройстве. Для аутентификации злоумышленник должен иметь действительные пользовательские учетные данные.

Специалисты компании рекомендуют всем пользователям обновить программное обеспечение до последней версии.