Cisco Systems выпустила информационный бюллетень о критической уязвимости, позволяющей без аутентификации получить полный контроль над средствами защиты электронной почты. Данная брешь кроется в операционной системе IronPort AsyncOS.

Вначале, на прошлой неделе, было опубликовано предупреждение о CVE-2016-6406; в минувшую среду в бюллетень было добавлено сообщение о наличии патча, устраняющего эту брешь. Cisco также указала, каким образом можно пресечь удаленный доступ к уязвимому программно-аппаратному комплексу.

По словам вендора, данная уязвимость вызвана наличием в AsyncOS внутреннего интерфейса, предназначенного для тестирования и отладки в ходе производственного цикла. «Атакующий может использовать эту уязвимость, подключившись к интерфейсу тестирования и отладки, — гласит бюллетень. — Эксплуатация позволит ему получить полный контроль над уязвимым устройством с привилегиями уровня root».

Помимо критической бреши в IronPort AsyncOS Cisco пропатчила также 10 уязвимостей высокой степени опасности в IOS и IOS XE. Восемь из них открывают возможность для удаленной атаки на отказ в обслуживании.

DoS-уязвимость CVE-2016-6382 присутствовала в реализациях протокола многоадресной маршрутизации IPv4 (MSDP) и протокола разреженного режима рассылки IPv6 (PIM). Наличие этой бреши позволяло удаленно и без аутентификации направить на устройство пакет, способный вызвать перезагрузку. Cisco выпустила обновление, решающее эту проблему.

Аналогичная уязвимость CVE-2016-6381 крылась в коде фрагментации пакетов IKEv1 операционных систем IOS и IOS XE; CVE-2016-6384 была вызвана некорректностью проверки некоторых полей в сообщениях протокола H.323. Брешь CVE-2016-6391 в реализации протокола CIP открывала возможность для подачи особого запроса с целью прерывания обработки на целевом коммутаторе; чтобы восстановить функциональность, требовался рестарт.

Два патча закрывают уязвимости умеренной опасности в центре администрирования Firepower Management Center. CVE-2016-6420 представляет собой баг повышения привилегий, CVE-2016-6419 позволяет внедрить SQL-код.

Как уже отмечалось, сентябрь выдался горячим для Cisco. На прошлой неделе гигант сетевой индустрии залатал 9 серьезных уязвимостей в своих продуктах, несколько ранее — 12, в том числе критическую брешь в WebEx Meetings Server.

Категории: Главное, Уязвимости