Nul
Cisco patches kritisk Smart Installere fejl: 8,5 millioner enheder, der påvirkes.
Cisco har udgivet rettelser til 34 fejl i deres software, herunder 24 for at påvirke sin FXOS software til Ildkraft firewalls og NX-OS-software til Nexus-switche.
Cisco ‘ s juni-opdateringer omfatter programrettelser til fem kritiske udførelse af vilkårlig kode sårbarheder, som påvirker FXOS og NX-OS og 19 high-rated fejl, der påvirker software.
En halv snes af dem påvirker både FXOS og NX-OS, mens de resterende kun har indflydelse på NX-OS. Cisco siger, at ingen af de fejl, som påvirker sin IOS-eller IOS-XE-software.
Fire af de kritiske fejl påvirke FXOS og NX-OS Cisco Stof Tjenester, mens den femte påvirker NX-API funktion af NX-OS. Alle har en CVSS v3 score på 9.8 ud af et maksimum på 10.
De fire, der påvirker Cisco Stof Tjenester er fordi FXOS/NX-OS “utilstrækkeligt validerer header værdier i Cisco Stof Service-pakker”.
SE: Cybersikkerhed i en tingenes internet og mobil verden (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
Cisco Stof Tjenester lette distribution og synkronisering af konfiguration data mellem Cisco enheder på det samme netværk.
Nogle af de fejl, som gøre det muligt for en ikke-godkendt, ekstern angriber at udføre vilkårlig kode og man gør det muligt for en hacker at gøre dette som root.
Flere parametre er sårbare, hvis de har været konfigureret til at bruge Cisco Stof Tjenester, herunder dens Nexus 2000-serien igennem til Nexus 9000-serien switche, samt Cisco ‘ s Ildkraft 4100 Serien Next-Gen Firewalls og anden hardware.
Den manglende input validering kan opstå, når FXOS og NX-OS proces Cisco Stof Service-pakker, der er modtaget under distribution og synkronisering.
Der er forskellige måder at udnytte hver af de fejl, afhængigt af, hvilken Cisco Stof Tjenester distribution typer er blevet konfigureret.
For eksempel, hvis Fibre Channel-porte er konfigureret som en fordeling for en enhed, angreb kan ske via Fibre Channel over Ethernet (FCoE) eller Fibre Channel over IP (JF.
Cisco har allerede rullet ud rettelser i nogle udgaver af FXOS og NX-OS. Det har givet tabeller for hver berørt skifte og firewall, beskriver den første faste overgang til hver specifik sårbarhed, samt den første faste udgivelse, der dækker over en samling af 19 fejl, der er beskrevet i en separat begivenhed reaktion”, som er rådgivende. Alle de mangler, der er beskrevet i den særskilte rådgivende er højt-ratede fejl.
SE: EN vindende strategi for cybersikkerhed (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
Cisco postet en blog i denne uge, der forklarer, hvorfor det ofte retter fejl i IOS og NX-OS-udgivelser før afsløre dem i en rådgivende.
Det er en praksis, der synes at skabe forvirring for kunder, der undrer sig over hvorfor de ikke har fortalt dem fast-koden har været ledige i flere måneder, før det afslører dem. Cisco ‘ s svar er, at nogle mangler indflydelse på mere end 50 versioner af deres software.
“Der har været nogle spørgsmål til, hvorfor at skabe rettelser og frigive opdateringer kan tage flere uger eller endda måneder, før en rådgivende er offentliggjort,” Cisco Kunden Sikkerhed for, Sikkerhed Programmer team skrev.
“I nogle tilfælde, er der et stort antal understøttede software versioner for at blive opdateret. Antallet af berørte versioner, der vil være opdaterede og kan variere fra en enkelt cifre til næsten 50 eller mere. Vi er forpligtet til at udstede rettelser til hver enkelt af de understøttede versioner.”
“Hvis vi offentliggjort sårbarhed efter kun om fastsættelse af en udgivelse, ville vi unødigt at udsætte alle kunder, der kører andre udgivelser til potentielle udnyttelse, når detaljer om selve angrebet blev forbudt.”
Der er også 10 medium sværhedsgrad fejl, herunder en, der påvirker nogle WebEx endepunkter på grund af en allerede afsløret fejl i Nvidia ‘ s Tegra TX1 chips.
Tidligere og relaterede dækning
Cisco kritiske fejl advarsel: Disse 10/10 sværhedsgraden fejl har brug for at lappe nu
Cisco ‘ s software til styring af software-definerede netværk har tre kritiske, sårbarheder som kan fjernudnyttes.
Cisco security: Rusland, Iran skifter ramt af angribere, der forlader OS, flag på skærme
Hackere bruger Cisco gear til at sende Rusland til en besked, som ikke er til at rode med AMERIKANSKE valg.
Cisco ‘ s advarsel: Watch out for regeringen hackere målrettet dit netværk
Cisco indtrængende Smart Installere klienten brugere til at lappe og sikkert konfigurere software.
Cisco kritisk fejl: mindst 8,5 millioner skifter åben for angreb, så nu patch
Cisco patches en alvorlig fejl i kontakten implementering software, der kan blive angrebet, med fabrikerede beskeder, der er sendt til en havn, der er åben som standard.
Cisco: Opdater nu for at lave kritisk hardcodede adgangskode bug, fjernkørsel af programkode fejl
Cisco patches to alvorlige godkendelse fejl og en Java deserialization fejl.
Cisco: Alvorlig fejl i vores sikkerheds-apparater, er nu under angreb
Et proof-of-concept exploit til Cisco ‘ s 10-ud-af-10 sværhedsgraden fejl overflader dage efter, forsker i detaljer hans angreb.
Cisco: Du er nødt til at lappe vores sikkerhedsudstyr igen for farlige ASA VPN-fejl
Cisco har advaret om, at dens oprindelige fix for den 10/10-sværhedsgraden ASA VPN-fejl var,
Cisco ‘ventede på 80 dage’, før afslørende, at det havde været lappe sin kritiske VPN-fejl
Opdateret: Cisco bør gøre mere for at hjælpe virksomheder med at sikre deres netværk gear, siger en kunde.
Cisco switch fejl førte til angreb på kritisk infrastruktur i flere lande (TechRepublic)
Angrebet mål Cisco Smart Installere Klienten, og så mange som 168,000 systemer kan være sårbare.
Adobe Acrobat sårbarhed kan gå på kompromis, at du med blot et klik (CNET)
Pro-tip: klik Aldrig på en PDF-fil fra en ukendt kilde.
Relaterede Emner:
Cisco
Sikkerhed-TV
Data Management
CXO
Datacentre
0