Firma Cisco opublikowała nowe aktualizacje naprawiające podatności w oprogramowaniu Cisco IOS oraz Cisco IOS XE.
Podatności:
- CVE-2019-1742 – luka w webowym interfejsie użytkownika w oprogramowaniu Cisco IOS XE, może umożliwić nieuwierzytelnionemu zdalnemu atakującemu uzyskanie dostępu do poufnych informacji konfiguracyjnych.
- CVE-2019-1745 – luka w oprogramowaniu Cisco IOS XE może umożliwić uwierzytelnionemu, lokalnemu atakującemu wstrzyknięcie dowolnych poleceń, które są wykonywane z podwyższonymi uprawnieniami.
- CVE-2019-1747 – luka w implementacji funkcji obsługi wiadomości SMS w oprogramowaniu Cisco IOS i IOS XE może umożliwić nieuwierzytelnionemu zdalnemu napastnikowi wywołanie odmowy usługi (DoS).
- CVE-2019-1748 – luka w agencie Cisco Network Plug-and-Play (PnP) oprogramowania Cisco IOS i Cisco IOS XE może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu uzyskanie nieautoryzowanego dostępu do poufnych danych.
- CVE-2019-1738, CVE-2019-1739, CVE-2019-1740 – luki w funkcji rozpoznawania aplikacji (NBAR) w oprogramowaniu Cisco IOS i Cisco IOS XE może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu restart danego urządzenia.
- CVE-2019-1751 – luka w funkcjach translacji adresów sieciowych (NAT64) w oprogramowaniu Cisco IOS może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu zablokowanie kolejki interfejsu lub restart urządzenia.
- CVE-2019-1752 – luka w funkcjach ISDN oprogramowania Cisco IOS i Cisco IOS XE może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu restart urządzenia.
- CVE-2019-1737 – luka w przetwarzaniu pakietów IP SLA przez oprogramowanie Cisco IOS i Cisco IOS XE może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu zablokowanie interfejsu lub wywołanie odmowy usługi (DoS).
- CVE-2019-1754 – luka w podsystemie autoryzacji oprogramowania Cisco IOS XE może umożliwić uwierzytelnionemu, ale nieuprzywilejowanemu, zdalnemu atakującemu uruchomienie uprzywilejowanych poleceń Cisco IOS przy użyciu webowego interfejsu.
- CVE-2019-1753 – luka w webowym interfejsie użytkownika oprogramowania Cisco IOS XE może umożliwić uwierzytelnionemu, ale nieuprzywilejowanemu, zdalnemu atakującemu uruchomienie uprzywilejowanych poleceń Cisco IOS przy użyciu webowego interfejsu.
- CVE-2019-1755 – luka w funkcji Web Services Management Agent (WSMA) oprogramowania Cisco IOS XE może umożliwić uwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnych poleceń Cisco IOS jako użytkownik z wyższymi uprawnieniami.
- CVE-2019-1756 – luka w oprogramowaniu Cisco IOS XE może pozwolić uwierzytelnionemu, zdalnemu atakującemu na wykonanie poleceń w podstawowej powłoce systemu Linux zagrożonego urządzenia z uprawnieniami roota.
- CVE-2019-1750 – luka w wirtualnym systemie przełączania (VSS) oprogramowania Cisco IOS XE na przełącznikach serii Catalyst 4500 może pozwolić nieuwierzytelnionemu, sąsiadującemu atakującemu na restart przełączników.
- CVE-2019-1741 – luka w zabezpieczeniach Cisco Encrypted Traffic Analytics (ETA) oprogramowania Cisco IOS XE może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu wywołanie odmowy usługi (DoS).
- CVE-2019-1746 – luka w kodzie przetwarzania Cluster Management Protocol (CMP) w oprogramowaniu Cisco IOS i Cisco IOS XE może umożliwić nieuwierzytelnionemu, sąsiadującemu atakującemu wywołanie warunku odmowy usługi (DoS).
- CVE-2019-1743 – luka w strukturze Web UI oprogramowania Cisco IOS XE może umożliwić uwierzytelnionemu, zdalnemu atakującemu dokonanie nieautoryzowanych zmian w systemie plików danego urządzenia.
Podatne produkty:
- urządzenia z oprogramowaniem IOS
- urządzenia z oprogramowaniem IOS XE
Więcej informacji: https://tools.cisco.com/security/center/publicationListing.x