Cisco: Wichtige Security-Updates für mehrere Produkte

Cisco hat Sicherheitsupdates für mehrere seiner Geräte und Softwareprodukte bereitgestellt. Von einigen der hierdurch geschlossenen Lücken geht ein hohes Sicherheitsrisiko aus: Das US-CERT weist darauf hin, dass sie unter bestimmten Voraussetzungen eine Übernahme der betroffenen Geräte ermöglichen könnten. Eine Lücke stuft Cisco gar als kritisch ein. Admins sollten die notwendigen Aktualisierungen zeitnah durchführen. Eine vollständige Liste der betroffenen Produkte ist dem Sicherheitscenter des Herstellers zu entnehmen.

Denial of Service

Die kritischste Lücke (CVE-2019-1651) steckt in Ciscos SD-WAN-Lösung. Sie ermöglicht einem authentifizierten entfernten Angreifer das Herbeiführen eines Denial-of-Service, um anschließend beliebigen Code mit root-Rechten auszuführen. Betroffen ist die Cisco vSmart Controller Software in Kombination mit der SD-WAN Solution vor Version 18.4.0.

Im Security Advisory zur Lücke nennt Cisco weitere Details und weist zudem darauf hin, dass sich betroffene Kunden mit dem Support in Verbindung setzen sollen, um Hilfestellung zu erhalten -- eine vorgefertigtes Update fürs Deployment auf eigene Faust steht in diesem konkreten Fall nämlich nicht bereit.

Lücken mit der Risiko-Einstufung "High" klaffen unter anderem in den Texas-Instruments-Chips CC2640 and CC2650, die in mehreren Access Points von Cisco zum Einsatz kommen, in mehreren WebEx-Komponenten, in der Identity Services Engine (ISE) sowie in den Routern RV320 and RV325.

Achtung: Updates für zwei weitere kritische Lücken

Die Liste in Ciscos Sicherheitscenter enthält noch zwei weitere Einträge mit Updates vom 11. beziehungsweise 16. Januar, die erst nach dem letzten Update-Hinweis bei heise Security bereitgestellt wurden. Sie betreffen die Commons FileUpload Library von Apache Struts sowie die Software Small Business Switches. Auch diese Lücken gelten als kritisch, so dass Anwender wiederum zeitnah handeln sollten. (ovw)