Firma Cisco opublikowała nowe aktualizacje do swoich produktów. Jedna naprawia krytyczną podatność w Cisco IOS XR:

  • CVE-2019-1710 – podatność wirtualnej maszyny sysadmin umożliwia nieuwierzytelnionemu, zdalnemu napastnikowi uzyskanie dostępu do aplikacji tej maszyny.

5 aktualizacji dotyczy podatności o poziomie “wysoki”:

  • CVE-2019-1654 – podatność uwierzytelniania devshell w AP Cisco Aironet umożliwia nieuwierzytelnionemu, lokalnemu napastnikowi uzyskanie dostępu na poziomie root
  • CVE-2019-1721 – podatność funkcji książki adresowej w Cisco Expressway Series oraz Cisco TelePresence Video Communication Server umożliwia nieuwierzytelnionemu, zdalnemu napastnikowi przeprowadzenie ataku DoS
  • CVE-2019-1797 – podatność interfejsu webowego Cisco Wireless LAN Controller  umożliwia nieuwierzytelnionemu, lokalnemu napastnikowi atak typu CSRF, w wyniku którego może wykonać działania na urządzeniu z uprawnieniami użytkownika, w tym zmienić konfigurację
  • CVE-2019-1796, CVE-2019-1799, CVE-2019-1800 – podatności obsługi Inter-Access Point Protocol (IAPP) w Cisco Wireless LAN Controller (WLC) umożliwiają nieuwierzytelnionemu napastnikowi atak typu DoS
  • CVE-2018-0248 – podatność interfejsu GUI w Cisco Wireless LAN Controller (WLC) umożliwia nieuwierzytelnionemu, zdalnemu napastnikowi przeprowadzenie ataku DoS

Ponadto Cisco poinformowało o wykryciu wykorzystania przez hakerów krytycznej podatności w Cisco IOS i IOS XE, załatanej w maju 2017.

  • CVE-2017-3881 – podatność w protokole Cluster Management Protocol umożliwia nieuwierzytelnionemu, zdalnemu napastnikowi przeładowanie systemu lub uzyskanie podwyższonych uprawnień.

Dostępne są także poprawki o niższej krytyczności, m. in. do Cisco IOS XR, AP Cisco Aironet, Prime, Firepower, Umbrella.

Więcej informacji: https://tools.cisco.com/security/center/publicationListing.x