Zero
Cisco patch critiche Smart Install difetto: 8,5 milioni di dispositivi interessati.
Cisco ha rilasciato le correzioni per 34 difetti nel software, di cui 24 che riguardano il suo FXOS software per la potenza di Fuoco di un firewall e NX-OS per Nexus interruttori.
Cisco giugno aggiornamenti includono correzioni per cinque critica, l’esecuzione di codice arbitrario vulnerabilità che interessano FXOS e NX-OS e 19 di alto livello difetti che interessano il software.
Una dozzina di loro, che influisce sia FXOS e NX-OS, mentre i restanti riguardano solo NX-OS. Cisco dice che nessuno dei difetti colpisce il suo IOS o IOS XE software.
Quattro di critica difetti influenzare FXOS e NX-OS Cisco Tessuto di Servizi, mentre il quinto riguarda la NX-API funzionalità di NX-OS. Tutti hanno un CVSS v3 punteggio di 9.8 su un massimo di 10.
I quattro che interessano Cisco Tessuto di Servizi perché FXOS/NX-OS “non sufficientemente valida valori di intestazione in Cisco Tessuto pacchetti di Servizi”.
VEDI: sicurezza informatica in un’IoT e mobile world (ZDNet relazione speciale) | Scaricare il report in formato PDF (TechRepublic)
Cisco Tessuto di Servizi per facilitare la distribuzione e la sincronizzazione dei dati di configurazione tra Cisco dispositivi sulla stessa rete.
Alcuni dei difetti consentire a chi effettua un attacco, attacco remoto di eseguire codice arbitrario e consente a un utente malintenzionato di farlo come root.
Più opzioni sono vulnerabili se sono stati configurati per utilizzare Cisco Tessuto di Servizi, tra cui il suo Nexus 2000 serie al Nexus 9000 switch della serie, così come Cisco Firepower 4100 Serie Next-Gen Firewall e altro hardware.
L’insufficiente di convalida dell’input può verificarsi quando FXOS e NX-OS processo di Cisco Tessuto pacchetti di Servizi ricevuti durante la distribuzione e la sincronizzazione.
Ci sono vari modi per sfruttare ogni dei difetti, a seconda di che cosa Cisco Tessuto di distribuzione di Servizi di tipi che sono stati configurati.
Per esempio, se Fibre Channel porte sono configurate come un tipo di distribuzione per un dispositivo, l’attacco può avvenire tramite Fibre Channel over Ethernet (FCoE) o Fibre Channel over IP (FCIP).
Cisco ha già lanciato correzioni in alcune versioni di FXOS e NX-OS. Ha fornito tabelle per ogni switch e firewall, dettagliare la prima release per ogni vulnerabilità specifica, così come la prima versione, che copre una raccolta di 19 difetti dettagliate in un “evento di risposta’ di consulenza. Tutti i difetti dettagliate in separata di consulenza sono di alto livello difetti.
VEDERE: UNA strategia vincente per la sicurezza informatica (ZDNet relazione speciale) | Scaricare il report in formato PDF (TechRepublic)
Cisco ha postato un blog di questa settimana, che spiega perché spesso correzioni di bug in IOS e NX-OS versioni prima di fornire loro una consulenza.
Si tratta di una pratica che sembra causare confusione per i clienti chiedendo perché non ha detto loro codice fisso è disponibile per diversi mesi prima di rivelarli. Cisco risposta è che alcuni difetti interessare più di 50 versioni dei suoi software.
“Ci sono state alcune domande come motivo per la creazione di correzioni e di rilasciare gli aggiornamenti possono richiedere diverse settimane, o addirittura mesi, prima di un advisory è pubblicato,” Cisco Cliente di Assicurazione di Protezione di Programmi di team scritto.
“In alcuni casi, vi è un gran numero di versioni del software supportate essere aggiornato. Il numero di versioni interessate, che saranno aggiornati può variare da una sola cifra di quasi 50 o più. Ci siamo impegnati per il rilascio delle correzioni per tutte le versioni supportate.”
“Se abbiamo divulgato la vulnerabilità solo dopo la correzione di una release, ci sarebbe inutilmente esporre tutti i clienti che utilizzano altri rilasci per il potenziale sfruttamento una volta che i dettagli circa l’attacco in se stesso è diventato pubblico.”
Ci sono anche 10 di media gravità difetti, tra cui quello che interessa alcuni WebEx endpoint a causa di un già comunicati difetto in Nvidia Tegra TX1 chips.
Precedente e relativa copertura
Cisco difetto fondamentale avvertenza: Questi 10/10 gravità bug bisogno di patch ora
Cisco software per la gestione di software-defined networks ha tre criticità, vulnerabilità sfruttabili da remoto.
Cisco security: la Russia, l’Iran passa colpito da hacker, che CI lascia il flag su schermi
Gli hacker utilizzano Cisco marcia per inviare Russia un messaggio di non pasticciare con le elezioni.
Cisco attenzione: Guardare fuori per il governo gli hacker prendono di mira il network
Cisco esorta Smart Install client di patch e sicuro configurare il software.
Cisco difetto fondamentale: almeno 8,5 milioni di interruttori aperti per attacco patch
Cisco patch un grave difetto interruttore di distribuzione di software che può essere attaccato con predisposti i messaggi inviati a una porta aperta per impostazione predefinita.
Cisco: Aggiorna ora per risolvere critica hardcoded password bug, l’esecuzione di codice remoto difetto
Cisco patch a due serie di autenticazione bug e Java deserializzazione difetto.
Cisco: Grave bug nella nostra appliance di sicurezza è ora sotto attacco
Un proof-of-concept sfruttare per Cisco 10-10 di gravità bug superfici giorni dopo ricercatore dettagli il suo attacco.
Cisco: È necessario patchare i nostri dispositivi di sicurezza di nuovo pericolosi ASA VPN bug
Cisco ha avvertito che il suo originale fix per il 10/10-gravità ASA VPN difetto
Cisco ‘atteso 80 giorni’, prima di rivelare che era stata patch critiche VPN difetto
Aggiornamento: Cisco dovrebbe fare di più per aiutare le aziende a proteggere le loro apparecchiature di rete, dice un cliente.
Cisco switch difetto del led per gli attacchi a infrastrutture critiche in diversi paesi (TechRepublic)
L’attacco di obiettivi di Cisco Smart Install Client, e come molti come 168,000 sistemi potrebbero essere vulnerabili.
Adobe Acrobat vulnerabilità può compromettere con un solo clic (CNET)
Pro suggerimento: Mai fare clic su di un file PDF da una fonte sconosciuta.
Argomenti Correlati:
Cisco
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0