Im Cisco IOS-/IOS-XE-System von Netzwerkgeräten gibt es insgesamt 13 kritische Sicherheitslücken, die durch ein Update geschlossen werden. Administratoren sollten die Netzwerkgeräte schnellstmöglich aktualisieren.
Anzeige
Zum Hintergrund
Cisco IOS ist das Betriebssystem für die meisten Router und Switches von Cisco. Cisco IOS XE ist ein Betriebssystem für Netzwerkhardware von der Firma Cisco, das als System-Daemon ausgeführt wird. Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten in Cisco IOS, Cisco IOS XE.
CERT-Bund stuft das Ganze als sehr kritisch ein
CERT-Bund informiert in diesem Bulletin über die betreffenden Sicherheitslücken. Mehrere Schwachstellen in Cisco IOS und IOS XE, ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen.
- In einem Fall kann das dazu führen, dass der Angreifer die vollständige Kontrolle über ein System erlangen kann. Dies ermöglicht das Ausspähen von Informationen sowie die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe.
- Ein entfernter, einfach authentisierter Angreifer kann zwei weitere Schwachstellen für das Eskalieren von Privilegien, bis hin zu Administratorrechten, ausnutzen und damit ebenfalls ein System übernehmen.
- Mehrere weitere Schwachstellen können von einem einfach authentisierten Angreifer im benachbarten Netzwerk für das Bewirken eines Denial-of-Service-Zustandes ausgenutzt werden.
- Und eine Schwachstelle erlaubt einem nicht authentisierten Angreifer mit physikalischem Zugriff auf ein System dieses unter seine Kontrolle zu bringen.
Drei der Schwachstellen werden vom Hersteller als kritisch eingestuft. Cisco hat seine gebündelte halbjährlich erscheinende Sicherheitsmeldung für Cisco IOS und IOS XE veröffentlicht, in der 12 einzelne Sicherheitsmeldungen enthalten sind, die 13 der genannten Schwachstellen aufführen.
Insgesamt bestätigt Cisco 15 Schwachstellen in seinen Betriebssystemen Cisco IOS und IOS XE, von denen drei Cisco IOS und IOS XE gemeinsam und jeweils sechs Schwachstellen nur Cisco IOS oder Cisco IOS XE betreffen.
- Cisco IOS XE Software Web UI REST API Authentication Bypass Vulnerability
- Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
- Cisco IOS and IOS XE Software DHCP Remote Code Execution Vulnerability
- Cisco IOS XE Software for Cisco 5760 WLC, Cisco Catalyst 4500E Supervisor Engine 8-E, and Cisco NGWC 3850 GUI Privilege Escalation Vulnerability
- Cisco IOS and IOS XE Software Plug-and-Play PKI API Certificate Validation Vulnerability
- Cisco IOS and IOS XE Software Internet Key Exchange Denial of Service Vulnerability
- Cisco IOS Software for Cisco Industrial Ethernet Switches PROFINET Denial of Service Vulnerability
- Cisco IOS Software Common Industrial Protocol Request Denial of Service Vulnerabilities
- Cisco IOS Software Network Address Translation Denial of Service Vulnerability
- Cisco IOS XE Software Locator/ID Separation Protocol Authentication Bypass Vulnerability
- Cisco IOS XE Software for Cisco ASR 1000 Series and cBR-8 Routers Line Card Console Access Vulnerability
- Cisco IOS XE Wireless Controller Manager Denial of Service Vulnerability
- Cisco IOS Software for Cisco Integrated Services Routers Generation 2 Denial of Service Vulnerability
- Cisco IOS Software for Cisco Catalyst 6800 Series Switches VPLS Denial of Service Vulnerability
Cisco empfiehlt Anwendern eine Betroffenheit über den in den Meldungen verlinkten 'Cisco IOS Software Checker' zu prüfen. Sicherheitsupdates sind laut Cisco verfügbar. (via)
2015
