На прошлой неделе компания Cisco предупредила пользователей о наличии 12 багов в ее продуктах, в том числе критической уязвимости в WebEx Meetings Server, защищенной системе для проведения веб-конференций. Аналогичный алерт опубликовала американская CERT, снабдив его ссылками на новые бюллетени Cisco.

Эксплуатация этой бреши, свойственной версии 2.6 WebEx Meetings Server, позволяет внедрить любую команду в скрипты приложения, и она будет исполнена с высокими привилегиями. Согласно информационному бюллетеню, данная уязвимость, наиболее настоятельная из закрытых в минувшую среду, вызвана неадекватностью санации данных, вводимых пользователем.

Семь из двенадцати уязвимостей, раскрытых Cisco, грозят отказом в обслуживании сетевого устройства. Три из них разработчик оценил как очень опасные, но пропатчил лишь одну, в том же сервере WebEx Meetings, выпустив версию 2.7 этого решения.

DoS-баг в ACE30 и ACE серии 4700, сервисных модулях для работы с приложениями, вызван некорректностью проверки подлинности при обработке кода SSL/TLS. Патчи для этой уязвимости будут выпущены 30 ноября; временные решения отсутствуют.

Третья DoS-брешь высокой степени опасности связана с обработкой пакетов IPv6 и присуща не только маршрутизаторам Cisco операторского класса (CRS). Компания обещает, что патч для систем CRS будет непременно выпущен.

Из прочих, менее критичных уязвимостей Cisco закрыла возможность произвольной записи файла в ПО Fog Director для платформы граничной обработки данных IOx, а также XSS в сетевом программном обеспечении IOS и IOS XE. Патч для бага повышения привилегий в CLI, интерфейсе командной строки Cisco IOS, придется подождать. Временных мер защиты от эксплойта, открывающего локальный доступ к системе унифицированных вычислений Cisco (UCS) с правами root, разработчик тоже не предлагает.

Также на прошлой неделе Cisco заявила, что выпуск патчей для роутеров и точек доступа, страдающих от криптобага, раскрытого в ноябре, не планируется. На тот момент исследователи предупредили, что наличие общего мастер-ключа в прошивке многочисленных сетевых устройств и IoT, доступных из Интернета, чревато массовыми MitM-атаками.

Категории: Уязвимости