Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/03/20

Garrantzia: Altua

Kaltetutako baliabideak: 

Ahultasun horiek Cisco-ren ondoko produktuei eragiten diete, 19.2.2 baino lehenagoko  Cisco SD-WAN-en software bertsioa baino lehenagokoa exekutatzen ari badira:

• vBond Orchestrator Software,
• vEdge 100 Series Routers,
• vEdge 1000 Series Routers,
• vEdge 2000 Series Routers,
• vEdge 5000 Series Routers,
• vEdge Cloud Router Platform,
• vManage Network Management (Software eta System),
• vSmart Controller Software.

Azalpena: 

Orange Group-ek hainbat produkturi eragiten dieten kritikotasun altuko 3 ahultasun aurkitu ditu. Autentifikatu gabeko erasotzaile lokal batek bufferraren gainezkatzea eragin lezake, pribilegioak igo root mailan eta komando arbitrarioak exekutatu kaltetutako gailuan.

Konponbidea: 

Aipatutako ahultasunak konpontzen dituzten eguneraketak Software Cisco-ren deskargen paneletik deskarga daitezke.

Xehetasuna: 

• Autentifikatu gabeko erasotzaile lokal batek bufferraren gainezkatzea eragin lezake bereziki diseinatutako trafikoa bidaliz kaltetutako gailura, sarrera datuen baliozkotze ez-nahiko bat baliatuta. Ahultasun horretarako CVE-2020-3264 identifikatzailea erreserbatu da.
• Autentifikatu gabeko erasotzaile lokal batek root pribilegioak altxa litzake bereziki diseinatutako eskaera bat bidaliz kaltetutako sistema eragilera, sarrera datuen baliozkotze ez-nahiko bat baliatuta. Ahultasun horretarako CVE-2020-3265 identifikatzailea erreserbatu da.
• Autentifikatu gabeko erasotzaile lokal batek komando arbitrarioen injekzio bat egin lezake root pribilegioekin exekutatuak izango liratekeenak, bereziki diseinatutako datuak bidaliz CLI utilitatera, sarrera datuen baliozkotze ez-nahiko bat baliatuta. Ahultasun horretarako CVE-2020-3266 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Cisco, Ahultasuna