Компания Cisco выпустила обновления для своих продуктов, закрыв пять уязвимостей отказа в обслуживании, расцениваемых как очень опасные или даже критические.

Согласно бюллетеням, датированным 20 апреля, три такие бреши были обнаружены в контроллерах Wireless LAN (WLC), широко используемых для управления беспроводными точками доступа и их защиты в корпоративной среде.

Наиболее опасная уязвимость в ПО WLC, помеченная как критическая, связана с некорректной обработкой HTTP-трафика. Эксплойт осуществляется через подачу на устройство запроса, провоцирующего переполнение буфера, что в итоге может привести к отказу в обслуживании. Данной уязвимости подвержены многие WLC-контроллеры: все релизы 7.2, 7.3 и 7.4 ниже 7.4.140.0 (MD); 7.5, 7.6, а также 8.0 ниже 8.0.115.0 (ED).

Уязвимость в веб-интерфейсе WLC затрагивает лишь устройства, работающие под управлением AireOS выпусков с 4.1 по 7.4.120.0, а также 7.5 и 7.6.100.0. Эксплойт предполагает попытку доступа к URL, не поддерживаемому интерфейсом, что приведет к перезагрузке устройства.

Уязвимость в Bonjour связана с некорректной обработкой WLC-софтом трафика, исходящего от этого диспетчера задач. Атакующий может направить на устройство особый Bonjour-трафик и спровоцировать перезагрузку, приводящую к отказу в обслуживании.

Уязвимость в адаптивном интерфейсе ASA (Adaptive Security Appliance) вызвана неадекватной валидацией пакетов DHCPv6. Ей подвержено только ПО ASA сборки 9.4.1, и то лишь в том случае, если соответствующая функция включена на устройстве.

Уязвимость в библиотеке libSRTP (open-source-реализации этого криптопротокола) присутствует в подсистеме обработки шифрованного контента, которая не проверяет некоторые поля входящих SRTP-пакетов. Данная брешь затрагивает около 20 разных продуктов Cisco, в том числе серверы WebEx Meetings и ряд устройств голосовой IP-связи. Уязвимость кроется в публично доступных исходном коде и библиотеках и затрагивает все версии libSRTP ниже 1.5.3. Заплатки выпущены для всех продуктов, использующих эту библиотеку, кроме трех моделей IP Phone и одной версии WebEx Meetings, которые будут пропатчены в августе и июне соответственно.

По данным группы реагирования на нарушения безопасности продуктов Cisco, атак itw на перечисленные уязвимости пока не замечено. Тем не менее пользователям настоятельно рекомендуется произвести обновление.

Категории: Уязвимости