SOS :: Security Operation Space
17 августа, пятница, 00:00
|
Hot News:

Cisco закрыла ряд опасных уязвимостей в PCP

09 июня 2018 г., суббота, 16:38

Среди исправленных брешей одна — критическая и еще несколько — высокой степени серьезности.

Клиенты компании Cisco получили уведомление о том, что производитель сетевого оборудования исправил одну критическую и пять серьезных уязвимостей в инструменте управления сетевой инфраструктурой Prime Collaboration Provisioning (PCP). Бреши были обнаружены в ходе внутреннего аудита и, по словам представителей компании, не эксплуатировались.

Наиболее опасным багом можно считать CVE-2018-0321, который открывает злоумышленнику удаленный доступ к системе RMI в обход аутентификации. В результате взломщик может совершать вредоносные действия на уязвимой PCP и подключенных к ней устройствах.

Две бреши более низкой степени критичности связаны с возможностью сброса пароля без аутентификации и повышения привилегий атакующего. Для этой цели злоумышленнику необходимо отправить специальный запрос на смену пароля. Еще один серьезный дефект позволяет удаленно исполнять произвольный SQL-запрос, а два бага допускают повышение привилегий из-за изъянов в алгоритмах контроля и разграничения доступа.

Также на этой неделе была исправлена критическая уязвимость, связанная с ошибками в системе аутентификации и отчетности в сервисах Cisco IOS XE, способная привести к атакам отказа в обслуживании и произвольного исполнения кода. Опасность бага CVE-2018-0315 состоит в том, что он делал возможным удаленное нападение. Кроме того, производитель исправил серьезные бреши в продуктах IP Phone и Adaptive Security Appliance (ASA), Web Security Appliance (WSA) и Network Services Orchestrator (NSO).Чтобы закрыть уязвимости, пользователям необходимо обновить систему до версии 12.3, хотя некоторые патчи вошли уже в две предыдущие версии.

Cisco регулярно выпускает обновления, повышающие безопасность продуктов компании. Немного ранее производитель телекоммуникационного оборудования закрыл уязвимость в Secure Access Control System, связанную с обходом аутентификации и удаленным исполнением кода. В марте с плановым обновлением были исправлены 22 уязвимости, в том числе две критические, связанные с жестко запрограммированным паролем в PCP и ошибкой десериализации объектов в Java.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:12
16:01
15:18
14:03
13:56
13:16
13:03
12:04
12:00
10:55
09:48
09:16
09:12
08:27
07:23
07:00
06:36
06:02


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.084
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.