Argitalpen data: 2019/07/04
Garrantzia: Handia
Kaltetutako baliabideak:
- Cisco Web Security Appliance-rako (WSA) Cisco AsyncOS Software, bai gailu birtualetarako eta bai hardwarerako, gailuek HTTPS proxy funtzioa gaituta dutenean eta gutxienez deszifratze politika bat konfiguratuta dutenean.
- Cisco Small Business 200, 300, eta 500 Series Managed Switches, 1.4.10.6 baino lehenagoko software bertsioak exekutatzen dituztenak, HTTPS baimentzeko administrazioaren web interfazea gaituta edo konfiguratuta dagoenean.
- Cisco Enterprise NFV Infrastructure Software (NFVIS), 3.10.1 baino lehenagoko bertsioak.
- Cisco Nexus 9000 Series Fabric Switches, ACI moduan, 14.1(2g) baino lehenagoko software bertsioa exekutatzen dutenean eta fabrikatik lehenetsita datorren modu permisiboaren konfigurazioa erabiltzen dutenean.
- Windowserako Cisco Jabber, 12.6(0) baino lehenagoko bertsioak.
- Cisco Unified Communications Manager.
- Cisco APIC Software, 4.1(2g) baino lehenagoko bertsioak.
Azalpena:
Ciscok kritikotasun altuko hamar ahultasunen berri eman du. Erasotzaile batek hainbat eratako erasoak egin litzake: zerbitzuaren ukapena (DoS), memoria hondatzea, fitxategi arbitrarioen irakurketa edo idazketa, komandoen injekzioa, baimenik gabeko sarbidea, DLLren aurrekarga eta pribilegioen eskalatzea.
Konponbidea:
Aipatutako ahultasunak konpontzen dituzten eguneraketak Ciscoren softwarearen deskarga paneletik deskarga daitezke.
Xehetasuna:
Ahultasunen jatorriak honakoak dira:
- Secure Sockets Layer (SSL) zerbitzari ziurtagirien baliozkotze ez-nahikoa HTTPS deszifratze funtzioan. Autentifikatu gabeko urruneko erasotzaile batek zerbitzuaren ukapen egoera (DoS) eragin lezake. Ahultasun horretarako CVE-2019-1886 identifikatzailea erreserbatu da.
- Baliozkotze okerra HTTPS paketeen sarrera prozesatzailean. Autentifikatu gabeko urruneko erasotzaile batek memoriaren hondatzea eragin lezake kaltetutako gailu batean. Ahultasun horretarako CVE-2019-1892 identifikatzailea erreserbatu da.
- Web interfazera bidalitako eskarien baliozkotze okerra. Autentifikatu gabeko urruneko erasotzaile batek zerbitzuaren ukapen egoera (DoS) eragin lezake. Ahultasun horretarako CVE-2019-1891 identifikatzailea erreserbatu da.
- NFVIS fitxategien sistemako komandoetan sarreraren baliozkotze okerra. Autentifikatutako eta administratzaile pribilegioak lituzkeen urruneko erasotzaile batek azpiko sistema eragilean fitxategi arbitrarioak gainidatz edo irakur litzake. Ahultasun horretarako CVE-2019-1894 identifikatzailea erreserbatu da.
- shell-aren erabiltzaile lokal batentzat eskuragarria den konfigurazio fitxategi baten sarreraren baliozkotze ez-nahikoa. root modura autentifikatutako erasotzaile lokal batek komando arbitrarioak exekuta litzake sistema eragilean. Ahultasun horretarako CVE-2019-1893 identifikatzailea erreserbatu da.
- Segurtasun baldintza ez-nahikoak VLAN azpiegiturako Link Layer Discovery Protocol-en (LLDP) konfigurazio fasean. Autentifikatu gabeko alboko erasotzaile batek segurtasun baliozkotzeak saihets litzake eta baimendu gabeko zerbitzari bat konekta lezake azpiegiturako VLANera. Ahultasun horretarako CVE-2019-1890 identifikatzailea erreserbatu da.
- Aplikazioak exekuzio denboran kargatutako baliabideen baliozkotze ez-nahikoa. Autentifikatutako erasotzaile lokal batek DLLren aurrekarga eraso bat egin lezake. Ahultasun horretarako CVE-2019-1855 identifikatzailea erreserbatu da.
- Sarrerako SIP trafikoaren baliozkotze ez-nahikoa. Autentifikatu gabeko urruneko erasotzaile batek zerbitzuaren ukapen egoera (DoS) eragin lezake. Ahultasun horretarako CVE-2019-1887 identifikatzailea erreserbatu da.
- Fitxategi bidearen baliozkotze eta akatsen egiaztatze osagabeak software jakin bat kargatzen denean. Autentifikatutako urruneko erasotzaile batek pribilegioak eskala litzake eta root baimenak eskuratu kaltetutako gailu batean. Ahultasun horretarako CVE-2019-1889 identifikatzailea erreserbatu da.
- Kaltetutako gailu baten bidez bidalitako HTTP/HTTPS eskaeren eremu batzuen kasuan sarreraren baliozkotze mekanismo ez-nahikoak. Autentifikatutako urruneko erasotzaile batek zerbitzuaren ukapen egoera (DoS) eragin lezake kaltetutako gailuan. Ahultasun horretarako CVE-2019-1884 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Cisco, Ahultasuna