Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Очередной комплект патчей содержит 17 обновлений безопасности для коммуникационных решений вендора.
Компания Cisco выпустила 17 обновлений безопасности для своих продуктов. Десять патчей устраняют уязвимости с высоким рейтингом опасности, в том числе проблемы неавторизованного доступа, отказа в обслуживании, эскалации привилегий и другие баги. Апдейты затрагивают системное ПО для устройств серии Web Security Appliance (WSA), коммуникационное оборудование семейства Nexus 9000, свитчи линейки Small Business, а также ряд других программных и аппаратных решений производителя.
Наиболее серьезная уязвимость, которую специалисты оценили в 8,6 балла по шкале CVSS, устранена в Cisco Unified Communications Manager — центральном элементе коммуникационной среды масштаба предприятия. Как следует из описания CVE-2019-1887, недостатки в реализации протокола установления сеанса (SIP) позволяли атакующему направить системе вредоносный пакет и запустить процесс регистрации нового устройства на всех подключенных к ней телефонах. Результатом таких действий мог стать отказ в обслуживании и временное нарушение работы сервиса.
Еще один баг с рейтингом 8,6 балла по CVSS идентифицируется как CVE-2019-1886 и связан с функцией расшифровки HTTPS-трафика программным обеспечением AsyncOS, установленным на устройствах WSA (по умолчанию опция HTTPS Proxy отключена). Как выяснили специалисты Cisco, уязвимость вызвана неадекватностью проверки SSL-сертификатов; злоумышленник может установить недопустимый сертификат на веб-сервере и подать на него запрос через WSA. Это вызовет перезагрузку процесса прокси и состояние отказа в обслуживании. Для решения проблемы производитель выпустил AsyncOS 10.5.5-005 и 11.5.2-020. В релизе 11.7 данная проблема не проявляется.
Похожая уязвимость в том же продукте позволяла нападающему полностью остановить обработку сетевого трафика на целевом устройстве при помощи вредоносного HTTP/HTTPS-запроса. Баг CVE-2019-1884 получил 7,7 балла CVSS; он актуален для AsyncOS 11.7 и более ранних сборок, для которых производитель выпустил несколько заплаток.
Два недостатка в решениях для виртуализации сетевых функций (NFV) исправлены выпуском Cisco Enterprise NFVIS 3.11.2. Уязвимость CVE-2019-1893 допускала локальное внедрение команд и выполнение их с root-привилегиями в базовой операционной системе устройства. Второй баг, зарегистрированный как CVE-2019-1894, позволял при наличии прав администратора удаленно перезаписывать или считывать любые файлы. Проблемы оценены в 7,8 и 7,2 балла соответственно.
Прошивка управляемых свитчей линеек Small Business Series 200, 300 и 500 содержала ошибки, которые позволяли киберпреступникам вызвать отказ в обслуживании на целевом устройстве. Баги, идентифицированные как CVE-2019-1891 и CVE-2019-1892, связаны с недостатками в веб-интерфейсе и обработчике SSL-пакетов. Обе уязвимости получили 7,5 балла CVSS и исправлены в релизе 1.4.10.6 системного ПО.
Остальные баги, получившие высокий рейтинг опасности, связаны с:
Комплект патчей также включил несколько исправлений для менее серьезных уязвимостей с рейтингом CVSS от 5,3 до 6,8 балла. Они связаны с прошивками IP-телефонов Cisco линеек 7800 и 8800, операционной системой ISO XR, межсетевого экрана Firepower и другими продуктами.
Предыдущий, июньский комплект обновлений Cisco исправлял 26 багов, среди которых присутствовали уязвимости с критическим уровнем опасности. В частности, вендор залатал 9,8-балльную дыру в прошивках роутеров RV110W, RV130W и RV215W. Ошибка в веб-интерфейсе коммуникаторов допускала выполнение на устройствах стороннего кода с root-привилегиями.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |