На прошлой неделе Cisco Systems выпустила информационный бюллетень, посвященный критической уязвимости в IPICS (IP Interoperability and Collaboration System), системе диспетчеризации и координации ответных мер на основе IP-сети. Этот специализированный продукт используется для обеспечения связи между службами оперативного реагирования при возникновении чрезвычайных ситуаций.

Уязвимость CVE-2016-6397, согласно Cisco, позволяет получить доступ к интерфейсу IPICS, используемому разными устройствами для коммуникаций, и сделать систему недоступной. Разработчик выпустил патч, альтернативных вариантов решения проблемы не предлагается.

Одновременно Cisco закрыла три DoS-бреши высокой степени опасности в AsyncOS, операционной системе, работающей в ее программно-аппаратных комплексах защиты электронной почты. Одна из этих уязвимостей, CVE-2016-1481, присутствовала в механизме фильтрации и позволяла вызвать состояние отказа в обслуживании на устройстве с помощью письма с вложенным архивом, содержащим искаженный dgn-файл.

Вторая брешь в AsyncOS (CVE-2016-1486) связана со сканированием вложений на предмет вредоносности. Согласно бюллетеню, данная уязвимость позволяет «неаутентифицированному удаленному атакующему остановить сканирование и пересылку email-сообщений на уязвимом устройстве, создав условие отказа в обслуживании».

Третья уязвимость в AsyncOS (CVE-2016-6356) вызвана некорректностью проверки данных во входящих email-вложениях с неправильно заполненными полями. Фильтрация такого сообщения может вызвать сбой и перезапуск процесса, что приведет к отказу в обслуживании.

Совокупно 26 октября Cisco закрыла 16 уязвимостей. Бреши, оцененные как умеренно опасные, варьируются от XSS в ПО Prime Collaboration Provisioning (CVE-2016-6451) до бага в интерфейсе командной строки IPICS, «позволяющего аутентифицированному локальному атакующему повысить уровень привилегий, ассоциируемый с его сессией» (CVE-2016-6430).

Категории: Уязвимости