Cisco biztonsági frissítések Squash router hibák

A Cisco nyolc biztonsági frissítést adott ki az Internetwork operációs rendszer (IOS) szoftvere, amely a routerek tápellátására szolgál.

A javítások megjelentek szerdán, azon a napon, amikor a Cisco korábban már kétszer évente frissített IOS frissítéseket tervezett. A hibák egyikét nyilvánosságra hozták szerdai frissítések előtt, de néhányat külső forrásból jelentettek be a Cisco-nek.

A legtöbb hibát a támadók kihasználhatnák, hogy összeomoljanak vagy valamilyen módon megzavarták a routert. specifikus, sérülékeny szolgáltatás engedélyezett, a Cisco elmondta:

[További olvasmány: A legjobb NAS-dobozok a média streaming és biztonsági mentéshez]

Például a Cisco két hibát javított az SSLVPN (Secure Sockets Layer Virtual Private Network) használható az eszköz összeomlásához. A támadók kihasználhatnák az egyik ilyen hibát, ha egy speciálisan kialakított HTTPS csomagot küldtek az útválasztónak. A hiba nem érinti a vállalat ASA 5500 készülékét vagy a Cisco IOS XR vagy XE szoftver felhasználóiét.

Az SSLVPN lehetővé teszi a vállalati tűzfalon kívüli felhasználók számára, hogy a vállalati hálózatba web böngészőt használjanak, ahelyett, hogy speciális VPN-szoftvert telepítenének számítógépüket.

Egy másik komoly hiba azoknak, akik engedélyezték a Secure Copy Protocol (SCP) használatát, lehetővé téve a fájlok átvitelét a hálózaton keresztül. Ennek a hibának köszönhetően a hitelesített felhasználó az eszközön "átviheti a fájlokat egy Cisco IOS eszközről, amely SCP kiszolgálónak lett konfigurálva, függetlenül attól, hogy milyen felhasználóknak van jogosultsága" - mondta Cisco a tanácsadóban. Ez lehetővé teheti a felhasználó számára, hogy elrontsa az útválasztó konfigurációs fájljait, vagy letapogassa a jelszavakat, mondta Cisco.

A frissítésekről további részletek itt találhatók.

A Cisco következő IOS javítócsomagja szeptember 23-án érkezik.