Cisco: Update-Rundumschlag für zahlreiche Produkte

Auf Ciscos Patch-Liste standen diesmal in erster Linie IP-Telefone und Netzwerk-Switches. Die gefixten Lücken dürften manchem Admin bereits bekannt vorkommen.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Cisco: Patch-Rundumschlag für zahlreiche Produkte
Lesezeit: 2 Min.

Cisco hat Security Advisories zu insgesamt zehn Sicherheitslücken veröffentlicht. Fünf der durchweg mit dem Risikofaktor "High" bewerteten Lücken betreffen IP-Telefone der 7800er-, 8800er- und 9000er-Serie. Die übrigen stecken im herstellereigenen Netzwerk-Betriebssystem NX-OS, was zur Sicherheitsanfälligkeit NX-OS-basierter Geräte führt. Das sind vor allem Nexus-Switches, aber auch einige UCS Fabric Extender/Interconnects, "Firepower"-Firewalls und weitere Netzwerkkomponenten.

Die Schwachstellen in den IP-Telefonen befinden sich allesamt im webbasierten Management-Interface der Session Initiation Protocol (SIP)-Software. Sie sind durchweg aus der Ferne ausnutzbar und können Angreifern unter anderem Denial-of-Service (DoS)-Attacken und die Ausführung beliebigen Codes ermöglichen. Wieder einmal basiert eine der Lücken auf einem standardmäßig aktiven Account mit Default-Passwort. Bei Cisco wurde genau dieses Problem bereits im Februar sowie in der vergangenen Woche in Sicherheitshinweisen thematisiert. Für SIP-Schwachstellen gilt ähnliches.

Im Gegensatz zu den IP-Telefon-Lücken ist von den fünf NX-OS-Lücken nur eine aus der Ferne ausnutzbar. Die genannten Angriffsmöglichkeiten (DoS, Remote Code Execution) sind ähnlich – der Déjà-vu-Effekt in Bezug auf erst kürzlich veröffentlichte Cisco-Sicherheitshinweise auch.

Für alle zehn Sicherheitslücken stehen Updates bereit, die Admins zügig einspielen sollten. Details zu den betroffenen Geräten und den notwendigen Aktualisierungsschritten sind den Sicherheitshinweisen zu entnehmen:

(ovw)