Cisco

Cisco lukker kritiske huller i WebEx og UCS Director

Dansk

En sårbarhed i videokonferencesoftwaren WebEx giver en autentificeret angriber mulighed for at afvikle skadelig programkode på de computere, der deltager i videomødet. Det skyldes en fejl i håndteringen af Adobe Flash-filer, der kan uploades til et møde.

Cisco har rettet sårbarheden med disse versioner af klient- og serverprodukterne:

Cisco lukker alvorlige huller i IOS

Dansk

Funktionen Smart Install i IOS og IOS XE fra Cisco har en alvorlig sårbarhed. Angribere kan udnytte den til at få enheden til at gå ned eller afvikle programkode. Cisco har udsendt opdateringer, der lukker dette og andre sikkerhedshuller.

En anden kritisk sårbarhed i IOS XE består i en bagdør, der gør det muligt at logge ind på udstyret med en standardkonto.

Quality of Service-subsystemet i IOS og IOS XE har en kritisk sårbarhed, der giver mulighed for at afvikle programkode.

Foruden de tre kritiske sårbarheder har Cisco lukket 17, der vurderes til høj risiko.

Cisco retter rettelse til ASA

Dansk

Cisco udsendte den 29. januar en opdatering til Adaptive Security Appliance (ASA), der lukkede et meget alvorligt sikkerhedshul. Sårbarheden har fået den højeste risikovurdering med en CVSS-score (Common Vulnerability Scoring System) på 10.

Virksomheden har opdaget, at rettelsen ikke lukkede sikkerhedshullet fuldstændigt. I går udsendte den derfor en opdateret version af rettelsen.

Cisco har også fundet yderligere metoder til at udnytte sårbarheden.

Systemer er sårbare, hvis SSL-tjenester (Secure Sockets Layer) eller IKE v2 (Internet Key Exchange) er slået til.

Cisco lukker alvorligt hul i VPN-udstyr

Dansk

Cisco har lukket en sårbarhed i SSL-VPN-funktionen i Cisco Adaptive Security Appliance (ASA). Sårbarheden har fået en CVSS-score (Common Vulnerability Scoring System) på de maksimale 10.

En angriber kan udnytte sårbarheden ude fra nettet uden at angive brugernavn og password.

Produkter i ASA-serien og Firepower er sårbare, hvis funktionen Webvpn er slået til.

Fejlene er rettet i følgende ASA-versioner:

Cisco lukker seks sikkerhedshuller i WebEx

Dansk

Cisco advarer om seks sårbarheder i Cisco WebEx Network Recording Player, der bruges til at afspille optagelser af videomøder. Fejlene ligger i behandlingen af filer i formaterne Advanced Recording Format (ARF) og WebEx Recording Format (WRF).

En angriber kan udnytte sårbarhederne ved at udforme en fil på en bestemt måde. Hvis offeret afspiller filen, kan der blive afviklet skadelig programkode.

Produkterne Cisco WebEx Business Suite (WBS30, WBS 31 og WBS32), Cisco WebEx Meetings og Cisco WebEx Meetings Server er sårbare.

Cisco lukker huller i trådløst udstyr

Dansk

Aironet 1560, 2800 og 3800 har to sårbarheder, der gør det muligt at sætte systemet ud af drift. Angriberen skal være inden for radiorækkevidde for at udnytte sårbarheden.

Den er en af flere sårbarheder, som Cisco har rettet. Der er også lukket to huller i Wireless LAN Controller.

Foruden det trådløse udstyr har Cisco rettet sårbarheder i Identity Services Engine, Firepower 4100 og 9300, Prime Collaboration Provisioning og Application Policy Infrastructure Controller Enterprise Module.

Anbefaling

Installer sikkerhedsopdateringerne.

Cisco lukker huller i IOS og IOS XE

Dansk

Flere sårbarheder i styresystemerne IOS og IOS XE fra Cisco lader angribere overtage kontrollen med de systemer, der anvender dem. Andre sårbarheder giver mulighed for at sætte systemet ud af drift.

Blandt sårbarhederne er en fejl i et REST-API, der gør det muligt at omgå autentifikationssystemet og få adgang til web-administrationsgrænsefladen.

Cisco har udsendt opdateringer, der lukker sikkerhedshullerne.

Anbefaling

Opdater til en rettet version.

Cisco lukker 14 sikkerhedshuller

Dansk

Sårbarhederne findes i produkter som Cisco Videoscape Distribution Suite Cache Server, Identity Services Engine, Unified Communications Manager, Smart Net Total Care Software Collector Appliance og Prime Collaboration Provisioning Tool.

De fleste af sårbarhederne har fået risikovurderingen medium. To medfører dog høj risiko. Den ene findes i Videoscape Distribution Suite for Television, den anden i Identity Services Engine.

Cisco har udsendt opdateringer, der lukker sikkerhedshullerne.

Anbefaling

Installer opdateringerne.

Huller i Cisco IOS og IOS XE står åbne

Dansk

På sikkerhedskonferencen Black Hat i Las Vegas i denne uge har sikkerhedsforsker Omar Eissa offentliggjort flere sårbarheder i Cisco IOS og IOS XE. Sårbarhederne findes i Autonomic Networking-funktionerne.

Ingen af sårbarhederne har fået Ciscos højeste risikovurdering, men to har fået den næsthøjeste.

En sårbarhed gør det muligt at få et system til at genstarte, så det i en periode er ude af drift. Angriberen behøver ikke være autentificeret, men skal befinde sig på et netværk, der er tæt på den sårbare enhed.

Sikkerhedshuller i Cisco-udstyr står åbne

Dansk

Ciscos implementering af SNMP (Simple Network Management Protocol) har flere sårbarheder. Det gælder for alle versioner af SNMP, både 1, 2c og 3.

Hvis en angriber kender SNMP read-only community string for det berørte system, kan sårbarhederne udnyttes under version 1 og 2c. For version 3 skal angriberen kende et brugernavn og password til systemet.

Cisco arbejder på softwareopdateringer, der løser problemet.

Fejlene findes i Cisco IOS og IOS XE. Enheder med følgende MIB'er er sårbare:

Sider

Abonnér på RSS - Cisco