Noll
Cisco patchar av kritisk Smart Installera brist: 8,5 miljoner enheter påverkas.
Cisco har utgivna korrigeringar för 34 brister i sin programvara, inklusive 24 som påverkar dess FXOS programvara för Eldkraft brandväggar och NX-OS-programvara för Nexus-switchar.
Cisco juni uppdateringar innehåller korrigeringar för fem kritiska till exekvering av godtycklig kod sårbarheter som påverkar FXOS och NX-OS och 19 hög betygsatt brister som påverkar programvaran.
Ett dussin av dem påverkar både FXOS och NX-OS, medan resterande endast påverkar NX-OS. Cisco säger att inga av de brister som påverkar dess IOS eller IOS-XE programvara.
Fyra av de kritiska brister påverkar FXOS och NX-OS Cisco Tyg Tjänster, medan den femte påverkar NX-API funktion av NX-OS. Alla har en CVSS v3 betyg av 9.8 av högst 10.
De fyra som påverkar Cisco Tyg Tjänster eftersom FXOS/NX-OS “otillräckligt validerar huvudvärdena i Cisco Tyg Tjänster paket”.
SE: It-säkerhet i ett sakernas internet och mobila världen (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Cisco Tyg Tjänster underlätta distribution konfiguration och synkronisering av data mellan Cisco-enheter på samma nätverk.
Några av de brister tillåta en icke-autentiserad, avlägsen attack för att exekvera godtycklig kod och en gör det möjligt för en angripare att göra detta som root.
Flera växlar är sårbara om de har konfigurerats för att använda Cisco Tyg Tjänster, inklusive dess Nexus 2000-serien genom att Nexus 9000-serien switchar, samt Cisco Eldkraft 4100 Serien Nästa Generations Brandväggar och annan hårdvara.
Den otillräckliga indata kan uppstå när FXOS och NX-OS process Cisco Tyg Tjänster paket som mottagits under distribution och synkronisering.
Det finns olika sätt att utnyttja alla de brister, beroende på vad som Cisco Tyg Tjänster distribution typer av tjänster har konfigurerats.
Till exempel, om Fibre Channel-portar är konfigurerad som en fördelning typ för en enhet, attacken kan ske via Fibre Channel over Ethernet (FCoE) eller Fibre Channel over IP (FCIP).
Cisco har redan rullat ut åtgärdas i vissa utgåvor av FXOS och NX-OS. Det har gett tabeller för varje berörd switch och brandvägg, beskriver de första fasta release för varje specifik sårbarhet, liksom den första fasta utgåva som omfattar en samling av 19 brister som beskrivs i en separat händelse svar ” rådgivande. Alla de brister som beskrivs i separat rådgivande är hög-rankade brister.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF-fil (TechRepublic)
Cisco publicerat en blogg som den här veckan som förklarar varför det ofta fixar buggar i IOS och NX-utgåvor av operativsystemet innan du avslöjar dem i en rådgivande.
Det är en metod som verkar orsaka förvirring hos kunder undrar varför det har inte berättat för dem fast kod som har funnits i flera månader innan det avslöjar dem. Cisco svar är att vissa brister påverkar mer än 50 versioner av sin programvara.
“Det har varit en del frågor om varför skapa fixar och släpper uppdateringar kan ta flera veckor eller ibland till och med månader, innan en rådgivande publiceras,” Cisco Kund Garanti Säkerhet Program team skrev.
“I vissa fall, det är ett stort antal som stöds versioner av programvaran uppdateras. Antalet drabbade versioner som kommer att uppdateras kan variera från enstaka siffror till nästan 50 eller mer. Vi är fast beslutna att utfärda korrigeringar för var och en av dessa versioner som stöds.”
“Om vi avslöjade sårbarhet efter bara fastställande av en utgåva, vi skulle i onödan utsätta alla kunder som kör andra versioner potentiellt kan utnyttjas en gång detaljer om själva attacken blev offentliga.”
Det finns även 10 medium svårighetsgrad brister, bland annat en som påverkar vissa WebEx ändpunkter på grund av ett redan lämnat ut fel i Nvidias Tegra TX1 marker.
Tidigare och relaterade täckning
Cisco kritiska fel varning: Dessa 10/10 svårighetsgrad buggar behöver patcha nu
Ciscos programvara för att hantera programvarudefinierade nätverk har tre kritiska, fjärrbasis sårbarheter.
Cisco security: Ryssland, Iran växlar hit av angripare som lämnar OSS flagga på skärmar
Hackare använder Cisco redskap för att skicka Ryssland ett meddelande för att inte bråka med AMERIKANSKA valet.
Cisco varning: Se upp för regeringen hackare riktar ditt nätverk
Cisco uppmanar Smart Installera client-användare att lappa och säkert konfigurera programvara.
Cisco-kritiska fel: minst 8,5 miljoner växlar öppen för attack, så nu patch
Cisco fläckar en allvarlig brist i switch distribution programvara som kan angripas med specialskriven meddelanden som skickas till en port som är öppen som standard.
Cisco: Uppdatera nu för att åtgärda kritiska hårdkodade lösenord bugg, fjärrkörning av kod fel
Cisco fläckar två allvarliga autentisering buggar och en Java avserialisering fel.
Cisco: Allvarligt fel i vår säkerhets-apparater är nu under attack
En proof-of-concept utnyttja för Cisco ‘ s 10-ut-av-10 svårighetsgrad bugg ytor dagar efter forskare detaljer hans attack.
Cisco: Du behöver patch våra säkerhetsanordningar igen för farliga ASA VPN-bugg
Cisco har varnat för att dess ursprungliga fix för den 10/10-svårighetsgrad ASA VPN-felet var
Cisco ‘väntade på 80 dagar” innan du avslöjar det hade varit lapp sin kritiska VPN-fel
Uppdaterad: Cisco bör göra mer för att hjälpa företag att säkra sina nätverk redskap, säger en kund.
Cisco switch fel lett till attacker på viktig infrastruktur i flera länder (TechRepublic)
Attacken mål Cisco Smart Installera Klienten, och så många som 168,000 system kan vara utsatta.
Adobe Acrobat sårbarhet kan du kompromiss med bara ett klick (CNET)
Pro tip: klicka Aldrig på en PDF från en okänd källa.
Relaterade Ämnen:
Cisco
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0