Cisco исправила 14 опасных уязвимостей в своих продуктах
Разработчики Cisco опубликовали патчиболее чем для 20 уязвимостей в своих продуктах. Большинство проблем исправлено в составе IOS и IOS XE (также вышли «заплатки» для ROM Monitor свитчей серии Catalyst 6800 и Webex Meetings Client), и 14 из них получили высокую степень серьезности (high). По данным специалистов, ни одна из исправленных проблем не использовалась в ходе реальных атак.
Почти все баги являются DoS-уязвимостями, но также устраненные проблемы могут использоваться для эскалации привилегий, инъекций команд, обхода аутентификации и так далее.
Так, одна из самых серьезных уязвимостей в IOS XE Web UI позволяет удаленному атакующему спровоцировать перезагрузку устройства, при помощи простого обращения к UI через HTTP. Другая DoS-проблема устранена в коде IPsec драйвера, использующегося для многих платформ Cisco IOS XE и Cisco ASA 5500-X Series Adaptive Security Appliance (ASA). Баг связан с некорректной обработкой пакетов IPsec Authentication Header (AH) и Encapsulating Security Payload (ESP). И еще одна уязвимость затрагивает IOS и IOS XE Software и эксплуатируется при помощи отправки устройству вредоносных пакетов IPv6.
Стоит отметить, что ранее на этой неделе разработчики Cisco также предупреждали о том, что более 80 продуктов компании уязвимы перед DoS-угрозой FragmentSmack (CVE-2018-5391). Некоторые решения получат патчи сентябре-октябре текущего года, тогда как борьба с уязвимостью в целом растянется до февраля 2019 года.