Компания Cisco исправила несколько уязвимостей в своих продуктах, включая серьезную уязвимость удаленного запуска кода в Wide Area Application Services Mobile, которая могла позволить злоумышленнику получить управление уязвимым устройством.

Cisco также исправила уязвимость в своей системе видео-конференц-связи для медицинских учреждений TelePresence VX Clinical Assistant. Исправление закрывает дыру, которая позволяла злоумышленнику логиниться в качестве администратора, используя пустой пароль.

«Уязвимость в модуле WIL-A Cisco TelePresence VX Clinical Assistant могла позволить злоумышленнику залогиниться на устройстве в качестве администратора, используя пустой пароль, — говорится в разъяснении Cisco. —Уязвимость заключалась в программной ошибке, из-за которой при каждой перезагрузке сбрасывался пароль администратора. Злоумышленник мог использовать эту уязвимость, залогинившись в интерфейсе управления как администратор с пустым паролем».

Уязвимость WAAS Mobile имеется во всех версиях ПО ниже 3.5.5, и компания выпустила новую версию, исправляющую эту ошибку.

«Уязвимость состоит в недостаточной валидации данных, представляемых пользователям в теле запроса HTTP POST. Злоумышленник может использовать данную уязвимость созданием запроса HTTP POST на загрузку содержимого, что вызовет неконтролируемый обход директории. Эксплойт может позволить злоумышленнику выполнить произвольный код на сервере WAAS Mobile с правами веб-сервера IIS, — говорится в разъяснении Cisco. — Уязвимый компонент принадлежит интерфейсу веб-управления; тем не менее в конфигурации, где используется более одного сервера Cisco WAAS Mobile, уязвимыми оказываются все серверы, не только тот, который имеет роль Manager и предоставляет интерфейс веб-управления».

В Cisco отметили, что уязвимость есть только в серверном ПО и не затрагивает каких-либо клиентских программ.

Компания также выпустила исправление для уязвимости в компоненте SIP в операционной системе Cisco IOS, которая работает на многих серверах и прочих устройствах. Этот изъян мог позволить злоумышленнику вызвать состояние отказа в обслуживании на уязвимом устройстве.

«Уязвимость состоит в некорректной обработке специально сконструированных SIP-сообщений. Злоумышленник может использовать эту уязвимость, посылая особые SIP-сообщения на SIP-шлюз. Ошибка может позволить злоумышленнику организовать утечку памяти или перезагрузку устройства», — говорится в разъяснении.

 

Изображение любезно предоставлено Prayitno.

Категории: Уязвимости