Cisco выпустила 18 бюллетеней безопасности
Сегодня была замечена достаточно необычная активность мирового лидера по производству сетевого оборудования. Компания Cisco выпустила сразу 18 бюллетеней безопасности, описывающие множественные уязвимости в различных продуктах разработчика.
Уязвимость CVE-2016-6393 при обработке некорректных попыток авторизации по SHH в AAA службе может спровоцировать аварийное завершение работы устройства под управлением Cisco IOS и IOS XE. Для успешной эксплуатации уязвимости требуется, чтобы на устройстве было включено журналирование неуспешных попыток входа.
Вторя уязвимость CVE-2016-6378 существует из-за ошибки при обработке ICMP запросов при включенном NAT. Удаленный атакующий может аварийно завершить работу службы NAT на уязвимой версии Cisco IOS XE.
Третья уязвимость CVE-2016-6380 заключается в некорректной обработке DNS запросов. Злоумышленник, способный перехватить DNS запрос и отправить его обратно устройству может аварийно завершить работу IOS и IOS XE.
Также производитель устранил уязвимости отказа в обслуживании при обработке SIP сообщений (CVE-2016-6391), фрагментированных IKEv1-пакетов (CVE-2016-6381), в реализации механизма IPDR (CVE-2016-6379), обработке фрагментированных IPv4-пакетов (CVE-2016-6386) и в реализации IPv4 Multicast Source Discovery Protocol (MSDP) и IPv6 Protocol Independent Multicast (PIM) протоколов (CVE-2016-6382, CVE-2016-6392).
Также производитель внес последние правки в используемую версию OpenSSL.
Согласно бюллетеням безопасности, без исправлений остались уязвимость в реализации протокола OSPF в IOS XR и в FTP-службе на Cisco AsyncOS.
Редакция SecurityLab рекомендует своим читателям установить соответствующие исправления безопасности в кратчайшие сроки.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш