Cisco veröffentlicht erneut wichtige Sicherheitsupdates

Bereits zum zweiten Mal in dieser Woche patcht Cisco Lücken in verschiedenen Produkten. Einige gelten als kritisch.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Cisco
Lesezeit: 2 Min.

Netzwerkausrüster Cisco hat bereits zum zweiten Mal in dieser Woche zum Patch-Rundumschlag ausgeholt und mehrere Sicherheitslücken geschlossen, deren Schweregrad von "Medium" über "High" bis "Critical" reicht. Admins sollten die verfügbaren Updates zeitnah vornehmen.

Drei kritische Sicherheitslücken, die Cisco in einem Security Advisory zusammengefasst hat, betreffen die webbasierten Management-Interfaces von Cisco Prime Infrastructure (PI) und Cisco Evolved Programmable Network (EPN).

Ein entfernter Angreifer könnte sie ausnutzen, um zunächst seine Zugriffsrechte zu erweitern und anschließend beliebigen Code auf den verwundbaren Systemen auszuführen. Im Falle von CVE-2019-1821 funktioniert dies komplett ohne vorherige Authentifizierung; der Zugriff via CVE-2019-1822 and CVE-2019-1823 erfordert allerdings gültige Zugangsdaten (mit einfachen Berechtigungen).

Betroffen sind Cisco-PI-Software-Releases vor 3.4.1, 3.5 und 3.6 und EPN-Manager-Releases vor 3.0.1. Informationen zu gefixten Versionen und detaillierte Update-Hinweise sind dem Security Advisory zu entnehmen.

Angesichts der extrem kurzen Intervalle, in denen Cisco derzeit Updates veröffentlicht, kann es schwerfallen, im Sicherheitscenter des Herstellers den Überblick zu behalten. Oftmals aktualisiert Cisco alte Beiträge lange nachdem sie erstmals veröffentlicht wurden.

Seit Veröffentlichung des letzten Alerts bei heise Security am vergangenen Dienstag sind (zusätzlich zu den bereits erwähnten kritischen Lücken) sieben Advisories mit der Einstufung "High" hinzugekommen:

Zusätzlich liefert die "Advanced Search"-Funktion (eingegrenzt auf Veröffentlichungen seit der letzten heise-Security-Meldung bis zur Veröffentlichung der aktuellen) 37 neue Sicherheitslücken mit "Medium"-Einstufung zurück. (ovw)