Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Вендор выпустил очередной комплект патчей, а также обновил список своих разработок, затронутых брешью в runC.
Компания Cisco выпустила очередной комплект патчей, которые закрывают 16 уязвимостей в ее продуктах. Вендор устранил пять серьезных брешей с рейтингом от 7,4 до 8,8 балла по шкале CVSS и одиннадцать проблем среднего уровня опасности. Кроме этого, разработчик телекоммуникационного оборудования обновил список устройств, затронутых недавним багом в утилите обработки контейнеров runC.
Наиболее серьезные уязвимости компания Cisco залатала в программно‑аппаратном комплексе HyperFlex, предназначенном для развертывания мультиоблачных центров обработки данных (ЦОД). Производитель закрыл брешь CVE-2018-15380, которая позволяла неавторизованному злоумышленнику подключиться к службе управления кластерами и внедрить вредоносную команду в один из ее процессов. Проблема была связана с недостаточной проверкой входящих пакетов, а результатом эксплуатации бага могло стать выполнение вредоносного скрипта с привилегиями администратора.
Вторая уязвимость в HyperFlex вызвана ошибкой в работе службы hxterm. Как выяснили специалисты Cisco, локальный пользователь с минимальными привилегиями мог обратиться к этой подсистеме и получить root-права на всех узлах кластера ЦОД. Баг зарегистрирован как CVE-2019-1664 и оценен в 8,1 балла по шкале CVSS. Обе бреши затрагивают все релизы программного обеспечения HyperFlex младше сборки 3.5 (2а) и закрываются апдейтом до этой версии.
К HyperFlex относятся также и несколько уязвимостей со средним рейтингом опасности, закрытых текущим комплектом патчей. Специалисты Cisco исправили в системе проблемы межсайтового скриптинга, а также несанкционированного доступа к данным, собираемым статистическим модулем Graphite.
Два серьезных бага устранены в комплекте программ Cisco Prime, обеспечивающем единый интерфейс управления различными приложениями вендора. Брешь с рейтингом 8,2 балла в службе Quality of Voice Reporting давала возможность злоумышленнику дистанционно подключиться к сервису от имени легитимного пользователя. Проблема связана с недостаточным контролем процесса аутентификации и отслеживается как CVE-2019-1662 по базе данных MITRE.
Вторая уязвимость позволяет киберпреступнику провести атаку «человек посередине», взломав SSL-канал между службами Cisco Prime Infrastructure и Identity Services Engine. Результатом атаки может стать утечка персональной информации о подключенных к сети клиентах сервиса. Специалисты зарегистрировали ошибку как CVE-2019-1659 и оценили ее рейтинг в 7,4 балла CVSS. Обе бреши получили патчи, доступные зарегистрированным пользователям решений Cisco.
Баг с оценкой в 7,5 балла закрыт релизом 6.5.2 операционной системы Cisco IOS XR. Уязвимость CVE-2019-1681 влияла на оборудование семейства Network Convergence System 1000 и допускала несанкционированное копирование хранящихся на нем файлов. Проблема заключалась в слабой проверке TFTP-запросов, которые удаленный злоумышленник мог отправить на целевое устройство.
Ряд менее серьезных уязвимостей закрыт в промышленных файрволах Firepower, системе конференц-связи Webex, программном обеспечении для IP-телефонов Cisco линеек 7800 и 8000, а также других продуктах вендора.
Набор патчей вышел 20 февраля, а на следующий день Cisco внесла изменения в свои рекомендации по безопасности, связанные с багом в системе обработки пакетов runC. Производитель подтвердил наличие уязвимости в продуктах Cisco Container Platform, Defense Orchestrator и Cisco Cloudlock, заплатка для которой выйдет 5 марта. Вендор проверяет наличие уязвимости еще в шести разработках, включая Cisco IOS XE и Cisco ASA CX.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |