Erster Cisco-Patchday
Cisco hat wie angekündigt den ersten Patchday veranstaltet. Ähnlich wie Microsoft oder Oracle bündelt das Unternehmen mehrere Updates für das IOS-Betriebssystem und liefert sie in einem Rutsch aus.
Wie vor Kurzem angekündigt, hat Cisco den ersten Patchday veranstaltet, der im Halbjahresturnus stattfinden soll. Der Netzwerkausrüster sammelt dazu alle Updates für das Routerbetriebssystem IOS und liefert sie in einem Rutsch aus, damit Administratoren das Einspielen der Patches besser planen können – ähnlich wie Microsoft und Oracle. Insgesamt hat Cisco fünf Sicherheitsmeldungen veröffentlicht.
Vier der Patches, die in den Meldungen verlinkt sind und registrierten Nutzern zum Download bereitstehen, beheben Denial-of-Service-Lücken in dem Routerbetriebssystem. Ein weiteres Update dichtet eine Schwachstelle ab, durch die vertrauliche Daten ausgespäht werden könnten.
Cisco-Router, auf denen Multi Protocol Label Switching (MPLS), Virtual Private Networking (VPN) und Open Shortest Path First (OSPF) aktiviert sind, können die Paket-Warteschlange blockieren, ein Speicherleck aufweisen und unter Umständen neu starten. Auf Geräten, die Private Dial-up Network (VPDN) mit dem Point-to-Point Tunneling Protocol (PPTP) nutzen, können aufgrund von Speicherlecks Sitzungen unerwartet abbrechen sowie sämtliche Schnittstellen-Ressourcen aufgebraucht werden.
Eine weitere Schwachstelle kann bei aktivierter IPv6-Unterstützung auftreten, wenn zudem bestimmte IPv4-UDP-Dienste laufen. Manipulierte Pakete an den Router können dann dazu führen, dass die Netzwerkschnittstelle keine weiteren Pakete mehr annimmt; sind die Pakete an den Dienst für das Resource Reservation Protocol (RSVP) gerichtet, kann der Router sogar komplett abstürzen. Außerdem können präparierte UDP-Pakete oder Pakete im IP-Protokoll Nummer 91 (Locus Address Resolution Protocol, LARP) aufgrund von Lücken im Data-link Switching (DLSw) zum Neustart des Geräts oder zu Speicherlecks führen.
Der letzte Fehlerbericht an diesem Cisco-Patchday behandelt eine Lücke im Multicast Virtual Private Network (MVPN), durch die Angreifer an vertrauliche Daten geraten können, da sie durch das Senden manipulierter Nachrichten den eigentlich geschützten Multicast-Verkehr empfangen können – unter gewissen Umständen sogar von anderen Multiprotocol Label Switching-VPNs.
Administratoren sollten die Patches einspielen, wenn sie verwundbare Software-Versionen auf ihren Routern einsetzen; die betroffenen Versionen sowie die Updates verlinkt Cisco in den Fehlermeldungen. Der Hersteller bietet auch eine Übersicht über die Patches an, die ihrem Namen jedoch kaum gerecht wird. Sie verlinkt im Wesentlichen auf die einzelnen Sicherheitsmeldungen und enthält eine mehrseitige Tabelle, in der verwundbare und nicht verwundbare Betriebssystemversionen aufgelistet sind.
Siehe dazu auch:
- Combined IOS Table for March 26, 2008, Security Advisory Bundle, Übersicht über die Patches von Cisco
- Vulnerability in Cisco IOS with OSPF, MPLS VPN, and Supervisor 32, Supervisor 720, or Route Switch Processor 720, Sicherheitsmeldung von Cisco
- Cisco IOS Virtual Private Dial-up Network Denial of Service Vulnerability, Fehlermeldung von Cisco
- Cisco IOS Multicast Virtual Private Network (MVPN) Data Leak, Fehlerbericht von Cisco
- Cisco IOS User Datagram Protocol Delivery Issue For IPv4/IPv6 Dual-stack Routers, Sicherheitswarnung von Cisco
- Multiple DLSw Denial of Service Vulnerabilities in Cisco IOS, Sicherheitsmeldung von Cisco
(dmk)
