Spoločnosť Cisco vydáva bezpečnostné záplaty pre nové zraniteľnosti ovplyvňujúce viaceré produkty

Spoločnosť Cisco vydáva bezpečnostné záplaty pre nové zraniteľnosti ovplyvňujúce viaceré produkty
Elektrolab Pridal  Elektrolab
  38 zobrazení
1
 0
Počítače a bezpečnosť

Spoločnosť Cisco v stredu vydala záplaty na riešenie troch bezpečnostných chýb, ktoré sa týkajú jej produktov, vrátane vysoko závažnej slabiny, ktorá bola odhalená v súprave NVIDIA Data Plane Development Kit (MLNX_DPDK) koncom minulého mesiaca.

Zraniteľnosť označená ako CVE-2022-28199 (skóre CVSS: 8,6) vyplýva z nedostatočného spracovania chýb v sieťovom zásobníku DPDK, čo umožňuje vzdialenému protivníkovi vyvolať stav odmietnutia služby (DoS) a ovplyvniť integritu a dôvernosť údajov.

"Ak je na rozhraní zariadenia pozorovaný chybový stav, zariadenie sa môže buď preplniť, alebo neprijímať prevádzku, čo môže viesť k stavu odmietnutia služby (DoS)," uviedla spoločnosť Cisco v oznámení zverejnenom 7. septembra.

DPDK označuje súbor knižníc a optimalizovaných ovládačov sieťových kariet (NIC) na rýchle spracovanie paketov, ktoré ponúkajú rámec a spoločné API pre vysokorýchlostné sieťové aplikácie.

Spoločnosť Cisco uviedla, že preskúmala svoj sortiment produktov a zistila, že chyba sa týka nasledujúcich služieb, čo viedlo výrobcu sieťových zariadení k vydaniu aktualizácií softvéru -

  • Softvér Cisco Catalyst 8000V Edge
  • Adaptive Security Virtual Appliance (ASAv) a
  • Secure Firewall Threat Defense Virtual (predtým FTDv)

Okrem zraniteľnosti CVE-2022-28199 spoločnosť Cisco vyriešila aj zraniteľnosť v softvéri Cisco SD-WAN vManage Software, ktorá by mohla "umožniť neautentifikovanému, susednému útočníkovi, ktorý má prístup k logickej sieti VPN0, získať prístup aj k portom služby zasielania správ v postihnutom systéme".

Spoločnosť obvinila z tohto nedostatku, ktorému bol pridelený identifikátor CVE-2022-20696 (skóre CVSS: 7,5), absenciu "dostatočných ochranných mechanizmov" v portoch kontajnera servera správ. Za nahlásenie zraniteľnosti pripísala zásluhy spoločnosti Orange Business.

Úspešné zneužitie chyby by mohlo útočníkovi umožniť prezerať a injektovať správy do služby zasielania správ, čo môže spôsobiť zmeny konfigurácie alebo spôsobiť opätovné načítanie systému, uviedla spoločnosť Cisco.

Treťou chybou, ktorú spoločnosť Cisco odstránila, je zraniteľnosť v rozhraní na zasielanie správ aplikácie Cisco Webex App (CVE-2022-20863, skóre CVSS: 4,3), ktorá môže neautentifikovanému vzdialenému útočníkovi umožniť modifikovať odkazy alebo iný obsah a uskutočniť phishingové útoky.

"Táto zraniteľnosť existuje, pretože dotknutý softvér nesprávne spracúva vykresľovanie znakov," uviedol. "Útočník by mohol túto zraniteľnosť zneužiť odosielaním správ v rámci aplikačného rozhrania."

Spoločnosť Cisco ocenila Rexa, Brucea a Zacheryho z Binance Red Team za objavenie a nahlásenie zraniteľnosti. Nakoniec zverejnila aj podrobnosti o chybe obchádzania autentifikácie (CVE-2022-20923, skóre CVSS: 4.0), ktorá sa týka smerovačov Cisco Small Business RV110W, RV130, RV130W a RV215W a ktorá podľa nej nebude opravená z dôvodu ukončenia životnosti týchto produktov.

"Spoločnosť Cisco nevydala a nevydá aktualizácie softvéru na riešenie tejto zraniteľnosti," uviedla a vyzvala používateľov, aby "prešli na smerovače Cisco Small Business RV132W, RV160 alebo RV160W".

Zdroj : The Hacker News

Máte aj vy zaujímavú konštrukciu, alebo článok?

Máte aj vy zaujímavú konštrukciu, alebo článok a chceli by ste sa o to podeliť s viac ako 250.000 čitateľmi? Tak neváhajte a dajte nám vedieť, radi ju uverejníme a to vrátane obrazových a video príloh. Rovnako uvítame aj autorov teoretických článkov, či autorov zaujímavých videí z oblasti elektroniky / elektrotechniky.

Kontaktujte nás!


Páčil sa Vám článok? Pridajte k nemu hodnotenie, alebo podporte jeho autora.
 

     

Komentáre k článku

Zatiaľ nebol pridaný žiadny komentár k článku. Pridáte prvý? Berte prosím na vedomie, že za obsah komentára je zodpovedný užívateľ, nie prevádzkovateľ týchto stránok.
Pre komentovanie sa musíte prihlásiť.

Vyhľadajte niečo na našom blogu

PCBWay Promo

JLCPCB Promo
PCBWay Promo

JLCPCB Promo
PCBWay Promo

JLCPCB Promo
Webwiki Button