В текущем месяце Cisco Systems латает дыры не покладая рук; в минувшую среду гигант сетевой индустрии выкатил еще девять патчей для серьезных уязвимостей в основных продуктах.

Две из них, критическая и высокой степени опасности, присутствуют в Cisco Cloud Services Platform 2100 (CCSP). Одна позволяет удаленно и без аутентификации исполнить произвольный код в целевой системе, вторая открывает возможность для внедрения команд через графический веб-интерфейс пользователя CCSP-платформы. Последнюю, оцененную как критическая, можно удаленно использовать для получения root-привилегий на базовой ОС CCSP и исполнения произвольных команд.

Cisco залатала обе бреши, предупредив также еще об одном баге внедрения команд, обнаруженном в Cisco IOS и IOS XE. По словам разработчика, эта уязвимость связана с исполнением команды iox и позволяет неаутентифицированному локальному пользователю внедрять команды в гостевую систему IOx Linux. Патч для нее не выпущен, обходных решений Cisco тоже предложить пока не может.

Еще один алерт касается компонента Data in Motion (DMo) в составе IOS и IOS XE. Наличие этого бага создает благоприятные условия для удаленной, не требующей аутентификации атаки на частичный отказ в обслуживании процесса (DMo) в целевой системе. Заплатка, решающая эту проблему, уже доступна.

Семь бюллетеней, опубликованных на прошлой неделе, Cisco оценила как умеренно важные. Один из них посвящен криптобагу, свойственному многим продуктам компании; он позволяет удаленно и без аутентификации воспользоваться вшитыми сертификатом и ключами. «Атакующий может проэксплуатировать эту уязвимость, используя статические данные для проведения MitM-атаки с целью расшифровки конфиденциальной информации на пользовательских соединениях», — сказано в алерте Cisco.

Полторы недели назад вышли критические патчи для еще одной уязвимости в IOS и IOS XE, которую использовали хакеры из Equation Group. За пару дней до этого Cisco предупредила пользователей о наличии 12 багов в ее продуктах, в том числе критической уязвимости в защищенной системе WebEx Meetings Server.

Категории: Главное, Уязвимости