Cisco stopft Lücken in WLAN-Produkten
Der Netzwerkausrüster hat Patches für mehrere wichtige Schwachstellen in seinen WLAN-Produkten freigegeben.
Cisco hat Patches für diverse Sicherheitslöcher in WLAN-Produkten veröffentlicht, die der Netzausrüster bei internen Tests selbst entdeckt hatte. Betroffen sind "Aironet Lightweight Access Points", die "Wireless LAN Controller" (WLC) und die WLAN-Management-Software "Wireless Control System" (WCS).
Auf den Aironet-LAPs (Modelle 1000 und 1500) ist das Einloggen mit einem in der Firmware fest vorgegebenen Passwort möglich. Die WLCs benutzen in der Werkseinstellung übliche SNMP-Community-Strings, können durch bestimmte Datenpakete zum Absturz gebracht werden und wenden nach einem Neustart WLAN-ACLs nicht an. Betroffen sind die Modelle 4400, 2100 und das Wireless LAN Controller Module sowie die WLAN-Modules und Controller für die Catalyst-Switche 6500 und 3750.
Im WCS gibt es nicht änderbare Zugangsdaten für einen FTP-Account und User können in eine Gruppe mit weiterreichenden Rechten wechseln. Außerdem gibt es Informationen über die Netzwerk-Topologie an User heraus, die keinen Zugriff haben sollten. Betroffen sind alle Versionen vor 4.0.96.0.
Einige der Fehler (insbesondere die im Zusammenhang mit Login-Daten) hat Cisco im Common Vulnerability Scoring System (CVSS) mit Risiko-Werten zwischen fünf und zehn bewertet. Administratoren betroffener Komponenten sollten die kostenlosen Patches also möglichst schnell einspielen.
Siehe dazu auch:
- Multiple Vulnerabilities in the Cisco Wireless LAN Controller and Cisco Lightweight Access Points, Cisco advisory
- Multiple Vulnerabilities in the Cisco Wireless Control System, Cisco advisory
(je)