Nul
Cisco patches kritische Smart Install fout: 8,5 miljoen apparaten beïnvloed.
Cisco heeft de vrijgegeven correcties voor 34 fouten in de software, met inbegrip van 24 die van invloed zijn op de FXOS software voor Vuurkracht firewalls en NX-OS-software voor de Nexus-switches.
Cisco juni updates bieden oplossingen voor vijf kritieke het uitvoeren van willekeurige code beveiligingslekken die van invloed FXOS en NX-OS en 19 high-rated gebreken beïnvloeden de software.
Een tiental van hen van invloed zijn op zowel FXOS en NX-OS, terwijl de resterende alleen van invloed op de NX-OS. Cisco zegt dat geen van de gebreken die van invloed zijn IOS-of IOS-XE-software.
Vier van de kritische gebreken beïnvloeden FXOS en NX-OS Cisco Stof Diensten, terwijl de vijfde invloed op de NX-API functie van de NX-OS. Alle kamers hebben een CVSS v3 score van 9,8 uit van een maximum van 10.
De vier van invloed Cisco Stof Diensten zijn omdat FXOS/NX-OS “onvoldoende gevalideerd kop waarden in Cisco Stof Diensten pakketten”.
ZIE: Cybersecurity in een IoT en mobiele wereld (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Cisco Stof Diensten bevorderen van de distributie en de synchronisatie van de configuratie van gegevens tussen Cisco-apparaten op hetzelfde netwerk.
Enkele van de gebreken waardoor een niet-geverifieerde, externe aanval uit te voeren willekeurige code uit, en laat een aanvaller te doen als root.
Meerdere switches zijn kwetsbaar als ze zijn geconfigureerd voor het gebruik van Cisco Stof Diensten, met inbegrip van de Nexus 2000 serie door te Nexus 9000-serie switches, Cisco ‘ s Vuurkracht 4100 Serie Volgende-Generatie Firewalls en andere hardware.
De onvoldoende input validatie kan optreden wanneer FXOS en NX-OS proces Cisco Stof Diensten pakketten ontvangen tijdens de distributie en synchronisatie.
Er zijn verschillende manieren om te exploiteren elk van de gebreken, afhankelijk van wat Cisco Stof Diensten types zijn geconfigureerd.
Bijvoorbeeld, als Fibre Channel-poorten zijn geconfigureerd als een distributie type voor een apparaat, de aanval kan optreden via Fibre Channel over Ethernet (FCoE) of Fibre Channel over IP (FCIP).
Cisco heeft al uitgerold correcties in sommige versies van FXOS en NX-OS. Het is voorzien van tafels voor elk betrokken switch en firewall, waarin de eerste vaste release voor elke specifieke kwetsbaarheid leeg maakt, evenals de eerste vaste release dat betrekking heeft op een verzameling van 19 gebreken gedetailleerd in een aparte ‘event response’ – advies. Alle gebreken gedetailleerd in aparte adviserende zijn van hoge nominale gebreken.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Cisco geplaatst op een blog deze week uitleggen waarom het vaak bugs in IOS en NX-OS releases voordat ze in een advies.
Het is een praktijk die wordt weergegeven om verwarring te veroorzaken voor klanten die zich afvraagt waarom het nog niet verteld dat ze een vaste code is beschikbaar voor een aantal maanden voordat het onthult ze. Cisco ‘ s antwoord is dat sommige gebreken van invloed zijn op meer dan 50 versies van de software.
“Er zijn enkele vragen waarom het maken van correcties en updates vrijgeven kan enkele weken of soms zelfs maanden, voordat een advies wordt gepubliceerd,” Cisco ‘s van de Klant Zekerheid Veiligheid Programma’ s team schreef.
“In sommige gevallen is er een groot aantal van de ondersteunde versies van de software worden bijgewerkt. Het aantal betrokken versies die worden bijgewerkt kan variëren van enkele cijfers bijna 50 of meer. We zijn toegewijd aan de afgifte van oplossingen voor elk van de ondersteunde versies.”
“Als we bekend de kwetsbaarheid na de vaststelling van een release, zouden we onnodig bloot aan alle klanten die andere releases naar mogelijke uitbuiting nadat details over de aanval zelf, werd het publiek.”
Er zijn ook 10 medium-ernst van de gebreken, waaronder een die invloed op een aantal WebEx eindpunten te wijten aan een al vermeld fout in Nvidia ‘ s Tegra TX1 chips.
Vorige en aanverwante dekking
Cisco kritieke fout waarschuwing: Deze 10/10 ernst bugs moeten patchen nu
De Cisco software voor het beheren van software gedefinieerde netwerken heeft drie kritische, extern worden misbruikt kwetsbaarheden.
Cisco security: Rusland, Iran schakelaars getroffen door aanvallers die de AMERIKAANSE vlag op de schermen
Hackers maken gebruik van Cisco versnelling te sturen Rusland een bericht niet te knoeien met de verkiezingen in amerika.
Cisco ‘ s waarschuwing: Kijk uit voor de overheid hackers richten van uw netwerk
Cisco dringt er bij Smart Install gebruikers van de client patch en veilig configureren van de software.
Cisco kritieke fout: Ten minste 8,5 miljoen schakelaars open te vallen, dus patch nu
Cisco patches een ernstige fout in schakelaar implementatie van software die kan worden aangevallen met bewerkte berichten die zijn verzonden naar een poort die open standaard.
Cisco: nu Bijwerken te lossen kritische hardcoded wachtwoord bug, tot uitvoering van externe code fout
Cisco patches twee ernstige verificatie bugs en een Java deserialisatie fout.
Cisco: Ernstige fout in onze security appliances is nu onder vuur
Een proof-of-concept exploit voor Cisco ‘ s 10-uit-van-10 ernst van de bug oppervlakken dagen na onderzoeker details zijn aanval.
Cisco: Je moet patch onze veiligheid apparaten opnieuw voor gevaarlijke ASA VPN-bug
Cisco heeft gewaarschuwd dat de oorspronkelijke fix voor de 10/10-ernst ASA VPN fout was
Cisco ‘wachtte 80 dagen’ voor het onthullende was het patchen van de kritische VPN-fout
Bijgewerkt: Cisco meer moeten doen om bedrijven te helpen beveiligen van hun netwerk gear, zegt een klant.
Cisco switch fout leidde tot aanvallen op kritieke infrastructuur in een aantal landen (TechRepublic)
De aanval gericht is op de Cisco Smart Client Installeren, en zo veel als 168,000 systemen kunnen worden kwetsbaar.
Adobe Acrobat kwetsbaarheid in gevaar kan brengen u met slechts een klik (CNET)
Pro tip: klik Nooit op in een PDF-bestand van een onbekende bron.
Verwante Onderwerpen:
Cisco
Beveiliging TV
Data Management
CXO
Datacenters
0