Nowe aktualizacje dla Cisco IOS i Cisco IOS XE

utworzone przez | mar 28, 2019 | ICS

Firma Cisco opublikowała nowe aktualizacje naprawiające podatności w oprogramowaniu Cisco IOS oraz Cisco IOS XE.

Podatności:

  • CVE-2019-1742 – luka w webowym interfejsie użytkownika w oprogramowaniu Cisco IOS XE, może umożliwić nieuwierzytelnionemu zdalnemu atakującemu uzyskanie dostępu do poufnych informacji konfiguracyjnych.
  • CVE-2019-1745 – luka w oprogramowaniu Cisco IOS XE może umożliwić uwierzytelnionemu, lokalnemu atakującemu wstrzyknięcie dowolnych poleceń, które są wykonywane z podwyższonymi uprawnieniami.
  • CVE-2019-1747 – luka w implementacji funkcji obsługi wiadomości SMS w oprogramowaniu Cisco IOS i IOS XE może umożliwić nieuwierzytelnionemu zdalnemu napastnikowi wywołanie odmowy usługi (DoS).
  • CVE-2019-1748​ – luka w agencie Cisco Network Plug-and-Play (PnP) oprogramowania Cisco IOS i Cisco IOS XE może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu uzyskanie nieautoryzowanego dostępu do poufnych danych.
  • CVE-2019-1738, CVE-2019-1739, CVE-2019-1740 –  luki w funkcji rozpoznawania aplikacji (NBAR) w oprogramowaniu Cisco IOS i Cisco IOS XE może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu restart danego urządzenia.
  • CVE-2019-1751 – luka w funkcjach translacji adresów sieciowych (NAT64) w oprogramowaniu Cisco IOS może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu zablokowanie kolejki interfejsu lub restart urządzenia.
  • CVE-2019-1752 – luka w funkcjach ISDN oprogramowania Cisco IOS i Cisco IOS XE może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu restart urządzenia.
  • CVE-2019-1737 – luka w przetwarzaniu pakietów IP SLA przez oprogramowanie Cisco IOS i Cisco IOS XE może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu zablokowanie interfejsu lub wywołanie odmowy usługi (DoS).
  • CVE-2019-1754 – luka w podsystemie autoryzacji oprogramowania Cisco IOS XE może umożliwić uwierzytelnionemu, ale nieuprzywilejowanemu, zdalnemu atakującemu uruchomienie uprzywilejowanych poleceń Cisco IOS przy użyciu webowego interfejsu.
  • CVE-2019-1753 – luka w webowym interfejsie użytkownika oprogramowania Cisco IOS XE może umożliwić uwierzytelnionemu, ale nieuprzywilejowanemu, zdalnemu atakującemu uruchomienie uprzywilejowanych poleceń Cisco IOS przy użyciu webowego interfejsu.
  • CVE-2019-1755 – luka w funkcji Web Services Management Agent (WSMA) oprogramowania Cisco IOS XE może umożliwić uwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnych poleceń Cisco IOS jako użytkownik z wyższymi uprawnieniami.
  • CVE-2019-1756 – luka w oprogramowaniu Cisco IOS XE może pozwolić uwierzytelnionemu, zdalnemu atakującemu na wykonanie poleceń w podstawowej powłoce systemu Linux zagrożonego urządzenia z uprawnieniami roota.
  • CVE-2019-1750 – luka w wirtualnym systemie przełączania (VSS) oprogramowania Cisco IOS XE na przełącznikach serii Catalyst 4500 może pozwolić nieuwierzytelnionemu, sąsiadującemu atakującemu na restart przełączników.
  • CVE-2019-1741 – luka w zabezpieczeniach Cisco Encrypted Traffic Analytics (ETA) oprogramowania Cisco IOS XE może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu wywołanie odmowy usługi (DoS).
  • CVE-2019-1746 – luka w kodzie przetwarzania Cluster Management Protocol (CMP) w oprogramowaniu Cisco IOS i Cisco IOS XE może umożliwić nieuwierzytelnionemu, sąsiadującemu atakującemu wywołanie  warunku odmowy usługi (DoS).
  • CVE-2019-1743 – luka w strukturze Web UI oprogramowania Cisco IOS XE może umożliwić uwierzytelnionemu, zdalnemu atakującemu dokonanie nieautoryzowanych zmian w systemie plików danego urządzenia.

Podatne produkty:

  • urządzenia z oprogramowaniem IOS
  • urządzenia z oprogramowaniem IOS XE

Więcej informacji: https://tools.cisco.com/security/center/publicationListing.x