Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/08/07

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

1.1.4.4 baino lehenagoko firmwarea exekutatzen duten Cisco Small Business 220 Series Smart Switches, web kudeaketako interfazea gaituta duenean.

Azalpena: 

bashis segurtasun ikertzaileak, VDOO dibulgazio programaren bidez, bi ahultasunen aurkikuntzaren berri eman du, biak larritasun kritikokoak, autentifikazioaren saiheste eta kodearen urruneko exekuzio erakoak.

Konponbidea: 

Aipatutako ahultasuna konpontzen duten eguneraketak Cisco softwarearen deskarga paneletik deskarga daitezke. Zehazki esateko, Ciscok ahultasun horiek bere firmware-aren 1.1.4.4 eta ondoreneko bertsioetan konpondu ditu.

Xehetasuna: 

• Cisco Small Business 220 Series Smart Switches-en web administrazioaren interfazeak duen ahultasun bat baliatuz, autentifikatu gabeko urruneko erasotzaile batek fitxategi arbitrarioak karga litzake. Ahultasunaren jatorria web kudeaketaren interfazeko baimenen egiaztatze osagabeak dira. Ahultasun horretarako CVE-2019-1912 identifikatzailea erabili da.
• Cisco Small Business 220 Series Smart Switches-en web administrazioaren interfazeak dituen hainbat ahultasun baliatuz, autentifikatu gabeko urruneko erasotzaile batek bufferraren gainezkatzea eragin lezake. Horrek azpiko sistema eragilean kode arbitrarioa root pribilegioekin exekutatzea ahalbidetuko luke. Ahultasun horretarako CVE-2019-1912 identifikatzailea erabili da.

Etiketak: Eguneraketa, Cisco, Ahultasuna