Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
На прошлой неделе компания Cisco выпустила 29 патчей для уязвимостей в своих продуктах.
На прошлой неделе компания Cisco выпустила 29 патчей для уязвимостей в своих продуктах. При этом две бреши вендор оценил как критические, девять — как очень опасные.
Согласно бюллетеню Cisco, уязвимость CVE-2018-0112, получившая ровно 9 баллов по шкале CVSS, связана с возможностью ошибки при проверке входных данных в клиентском ПО WebEx. Эксплойт в данном случае осуществляется отправкой участнику видеоконференции особого Flash-файла (в формате .swf) с использованием функции файлообмена WebEx-клиента. В случае успеха атакующий сможет выполнить произвольный код в системе жертвы.
Данная брешь затрагивает решения WebEx Business Suite (WBS) выпусков 31 и 32, WebEx Meetings с клиентом в сборке ниже T32.10, а также WebEx Meetings Server ниже 2.8 MR2. Пользователям этих продуктов настоятельно рекомендуется произвести обновление.
Критическая уязвимость CVE-2018-0238 в серверной платформе Unified Computing System (UCS) Director, предназначенной для автоматизации управления инфраструктурой ЦОД, получила оценку 9,1 балла. Эта брешь, по словам Cisco, вызвана некорректностью проверки данных в ходе аутентификации пользователей. Ее эксплойт позволяет войти в UCS Director под фальшивым юзернеймом и просматривать закрытую информацию о виртуальных машинах, отображаемую в меню Virtual Resources («виртуальные ресурсы») на портале, а также удаленно выполнять допустимые операции на любой ВМ.
Данная уязвимость проявляется в UCS Director 6.0 и 6.5 с дефолтными настройками; более ранние выпуски продукта ей не подвержены. Вендор особо отметил, что эксплойт CVE-2018-0238 возможен лишь при осуществлении доступа через пользовательский веб-интерфейс; через Rest API этой брешью воспользоваться не удастся.
Список уязвимостей высокой степени опасности включает DoS-баги в StarOS, IOS XR, Firepower Detection Engine и продуктах линейки ASA; возможность фиксации сеанса в ASA, AnyConnect Secure Mobility и Firepower Threat Defense (FTD), а также обход проверки SSL-сертификатов в ASA.
Сведений об использовании какой-либо из закрытых уязвимостей в реальных атаках у Cisco нет.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |