Sicherheits-Updates von Cisco

Jumbo-Ethernet-Frames bringen Ciscos Intrusion Prevention System (IPS) aus dem Tritt. Durch eine Schwachstelle im Cisco VPN Client kann ein lokaler Anwender eigenen Code mit Kernelrechten ausführen.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Jumbo-Ethernet-Frames bringen Ciscos Intrusion Prevention System (IPS) aus dem Tritt, darauf weist der Hersteller in einem Fehlerbericht hin. Arbeitet das IPS im Inline Mode und empfängt ein manipuliertes Paket auf einem Gigabit-Netzwerkinterface, so kommt es zu einer Kernel Panic und zu einem Stillstand des IPS. In der Folge kann das System bei möglichen weiteren Angriffen keinen Alarm mehr schlagen. Abhilfe schafft nur ein Neustart.

Plattformen ohne Gigabit-Ethernet sind nicht verwundbar. Das Problem tritt laut Cisco auch nicht im Promiscuous Mode auf. Da Jumbo-Ethernet-Frames in der Regel von keinem Internet-Provider entgegengenommen werden, bleibt eine Attacke auf das LAN beschränkt. Betroffen sind Cisco Intrusion Prevention System in den Versionen 5.x bis vor 5.1(8)E2 sowie 6.x bis vor 6.0(5)E2. Die Versionen 5.1(8)E2 und 6.0(5)E2 will der Hersteller voraussichtlich am 20. Juni zur Verfügung stellen.

Des Weiteren gibt es eine Schwachstelle im Deterministic Network Enhancer (DNE), der im Lieferumfang des Cisco VPN Client enthalten ist. Durch eine Schwachstelle im DNE-Treiber (dne2000.sys) bei der Verarbeitung bestimmter ioctl-Aufrufe kann ein lokaler Anwender eigenen Code mit Kernelrechten ausführen und so seine Zugriffsrechte erhöhen. Der Fehler soll in Version 3.21.12.17902 des Treibers behoben sein. Cisco hat den Fehler dem US-CERT zufolge im Windows VPN Client in Version 5.0.03.0530 ebenfalls behoben.

Siehe dazu auch:

(dab)