Netzwerk-Hardware: Hersteller fixen Lücken in Cisco IOS und Juniper ScreenOS

Die Implementierung des Simple Network Management Protocol (SNMP) in Cisco IOS respektive IOS XE enthält mehrere Sicherheitslücken, die im schlimmsten Fall das Einschleusen und Ausführen von Code auf dem betroffenen Gerät ermöglichen. Betroffen sind offenbar alle Software-Versionen vor den aktuell veröffentlichten.

Sendet der Angreifer ein speziell präpariertes Paket, kann er damit einen Pufferüberlauf auslösen; allerdings benötigt er dazu bereits gültige Zugangsdaten für das Gerät, erklärt Cisco im Security Advisory zu SNMP Remote Code Execution Vulnerabilities in Cisco IOS and IOS XE Software. Cisco stuft den Schweregrad des Problems mit einem CVSS von 8,8 und "High" ein. Cisco weiß von "externen Informationen zu diesen Lücken", was wohl heißen soll, dass sie bereits ausgenutzt werden.

Eingeschleustes JavaScript

Bei Juniper haben externe Sicherheitsforscher mehrere Fehler in deren Firewall- und VPN-Lösung Netscreen aufgedeckt, die zu einem Cross Site Scripting Problem führen (stored XSS). Dabei kann ein Nutzer mit den Zugangsrechten "security" dem höher privilegierten Administrator JavaScript-Code unterschieben und damit dessen Rechte erlangen. Betroffen ist ScreenOS vor der Version 6.3.0r24. Auch Juniper vergibt den Schweregrad Hoch mit einem CVSS von 8,4. (ju)