Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 14/1/2016
Cisco har lukket alvorlige sikkerhedshuller i Wireless LAN Controller-software, Identity Services Engine-software og Aironet 1800 Series Access Points.Sårbarheden i Wireless LAN Controller har den højeste CVSS-score (Common Vulnerability Scoring System) på 10. Fejlen findes i softwareversionerne 7.6.120.0 eller senere, 8.0 eller senere, samt i 8.1 eller senere. En udefrakommende, uautentificeret angriber kan udnytte sårbarheden til at få fuld kontrol over enheden.
En lige så alvorlig sårbarhed findes i Identity Services Engine version 1.1 eller senere, 1.2.0 før patch 17, 1.2.1 før patch 8, 1.3 før patch 5, samt 1.4 før patch 4. Også her kan en angriber få fuld kontrol over den sårbare enhed.
Samtidig lukker Cisco et mindre alvorligt sikkerhedshul i samme produkt. Det giver mulighed for at tilgå information, der burde kræve øgede privilegier.
Endelig fjerner Cisco to sårbarheder i Aironet 1800. Den ene gør det muligt at sætte systemet ud af drift.
Den anden sårbarhed er et standardpassword, der kan bruges til at logge ind på systemet. Men brugeren, der logges ind som, har ikke administratorprivilegier.
Anbefaling
Installer opdateringerne.
Links
- Cisco Wireless LAN Controller Unauthorized Access Vulnerability
- Cisco Identity Services Engine Unauthorized Access Vulnerability
- Cisco Identity Services Engine Unauthorized Access Vulnerability
- Cisco Aironet 1800 Series Access Point Denial of Service Vulnerability
- Cisco Aironet 1800 Series Access Point Default Static Account Credentials Vulnerability