Разделы

Безопасность Новости поставщиков Пользователю Цифровизация
|

Закрыты уязвимости в Cisco IOS: DoS, выполнение кода, утечка данных

Cisco выпустила 5 обновлений, закрывающих уязвимости в компонентах Cisco IOS, приводящие к отказу в обслуживании, утечке информации и удалённому выполнению произвольного кода.

Самой серьёзной является серия уязвимостей в реализации протоколов голосовой связи SIP, MGCP, H.323, H.254, RTP и протокола факсимильной связи. Уязвимости затрагивают также Cisco Unified Communication Manager. Некоторые из них позволяют внедрить и выполнить произвольный код, большинство приводит к отказу в обслуживании устройств, работающих под управлением IOS версий 12.3 и 12.4. К устройствам, подверженным уязвимостям, относятся маршрутизаторы, настроенные как шлюзы общей коммутируемой телефонной сети (SIP Public Switched Telephone Network Gateway) и граничные контроллеры SIP-сессии (SIP Session Border Controllers), а также карта CAT6000-CMM.

Кроме того, устранена уязвимость, позволяющая спровоцировать утечку данных или отключить подсистему IPv6 при передаче специально сформированного пакета IPv6 с заголовком маршрутизации Type 0.

В реализации протокола разрешения следующего перехода, Next Hop Resolution Protocol, устранена ошибка, использование которой могло привести к перезагрузке уязвимого устройства и, возможно, к внедрению и выполнению произвольного кода.

Как с помощью ad-hoc инструмента снизить расходы на внедрение аналитики
Импортонезависимость

Ещё одна уязвимость, более высокого уровня, закрыта в сервисе защищённого копирования Secure Copy – шифрованного аналога FTP. Сервис содержал ошибку, позволявшую игнорировать права доступа и перезаписывать, читать, создавать или удалять любой файл. Уязвимость обнаружена в Secure Copy в некоторых разновидностях IOS 12.2.

И, наконец, была закрыта уязвимость в веб-приложении Cisco Unified MeetingPlace Web Conference к межсайтовому скриптингу. Отсутствие фильтрации некоторых параметров, передаваемых при обращении к сценарию через адресную строку браузера, позволяло выполнить произвольный JavaScript в контексте веб-приложения. Это может послужить основой для хищения аутентификационных куки или других атак, использующих доверие пользователя к уязвимому сценарию.

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Крупный ритейл переходит на российские платформы электронной коммерции

Злобные хакеры превратили жителей третьего мира в подопытных кроликов. Они используют развивающиеся страны как полигон для испытания троянов

Как компании защищают конечные точки и почему это не спасает их от целевых атак

Эксперты рассказали об инструментах защиты пользователей в интернете

Как переехать в отечественный виртуальный офис без форс-мажоров

WhatsApp* заявил о готовности уйти из страны, если власти взломают его сквозное шифрование

MARKET.CNEWS

Dedicated

Подобрать выделенный сервер

От 1499 руб./месяц

VPS

Подобрать виртуальный сервер

От 30 руб./месяц

VDI

Подобрать тариф на аренду виртуальных рабочих мест

От 1 750 руб./месяц

СЭД

Подобрать систему электронного документооборота СЭД (ECM)

От 1 360 руб./месяц

Техника

На дачу и обратно: лучшие российские алкотестеры

Обзор смартфона HUAWEI nova 12i: внимание на камеру

Hisense Laser Mini Projector C1 — новый эталон домашнего кинотеатра

Показать еще

Наука

Стеклянные сферы, выпавшие в виде осадков в Хиросиме, схожи по составу с ранней Солнечной системой, а не с Землей

Российские ученые открыли удивительные грязевые вулканы на дне Байкала

Робот-медуза с электронным кардиостимулятором исследует океан и сообщает о находках
Показать еще
Российская неделя высоких технологий-2024. СВЯЗЬ-2024 Российская неделя высоких технологий-2024. СВЯЗЬ-2024