Cisco выпустила исправления для 13 опасных уязвимостей в IOS и IOS XE

Компания Cisco выпустила обновления, исправляющие 13 уязвимостей высокой степени опасности, которые затрагивают устройства, использующие сетевое программное обеспечение IOS и IOS XE.

Проблемы представляют особую опасность, поскольку могут использоваться для повышения привилегий или осуществления атак, приводящих к сбою в работе устройства.

Компания также выпустила исправления для еще 11 проблем со средним уровнем опасности, большинство из которых также затрагивают IOS и IOS XE. Обновления для 13 опасных уязвимостей являются частью пакета исправлений Cisco, выходящего дважды в год.

Известно, что ни одна из проблем не была проэксплуатирована злоумышленниками, а информация о них не была раскрыта до выхода исправлений.

Одна из уязвимостей затрагивает web-интерфейс IOS XE и может позволить удаленному злоумышленнику вызвать перезагрузку устройства, отправив специально сформированный HTTP-запрос на пользовательский интерфейс.

Еще одна уязвимость отказа в обслуживании обнаружена в коде драйвера IPsec для нескольких платформ Cisco IOS XE и адаптивного устройства Cisco ASA 5500-X Series Adaptive Security Appliance (ASA). Проблемный код некорректно обрабатывает пакеты заголовков аутентификации IPsec (AH) и пакеты Encapsulating Security Payload (ESP).

«Злоумышленник может проэксплуатировать данную уязвимость, используя обработанный пакет ESP или AH, который удовлетворяет несколько других условий, таких как сопоставление SPI IPsec SA и нахождение определенных последовательностей в правильном окне», - отметили представители Cisco.

Источник