Denial-of-Service-Lücken in Cisco-Produkten
Das Verarbeiten manipulierter Netzwerkpakete kann zu Abstürzen führen. Patches beheben die Probleme.
Mehrere Netzwerkprodukte von Cisco lassen sich aufgrund von Programmierfehlern mit manipulierten Netzwerkpaketen lahmlegen. Das Router-Betriebssystem IOS enthält einen Fehler im Modul für das Data-Link-Switching (DLSw). Er führt dazu, dass das System beim Verarbeiten präparierter UDP-Pakete oder von Paketen im IP-Protokoll 91 neu startet oder seinen Arbeitsspeicher vollmüllt. Dazu muss DLSw aktiviert sein, was standardmäßig nicht der Fall ist.
Eine Krypto-Bibliothek in IOS, der XR-Variante von IOS, den Security-Appliances PIX und ASA, dem Firewall Service Module (FWSM) sowie dem Unified CallManager stürzt beim Auswerten von ASN.1-kodierten Zertifikatsfeldern ab. Laut CVE-Eintrag handelt es sich hierbei um eine seit zwei Jahren bekannte Schwachstelle in den RSA-Bibliotheken Crypto-C- und Cert-C.
Der Hersteller beschreibt in seinen Advisories verschiedene Workarounds, die im Kern darauf abzielen, die Erreichbarkeit der betroffenen Dienste auf vertrauenswürdige IP-Bereiche zu beschränken. Cisco-Admins sollten jedoch wenn möglich die bereitgestellten Updates einspielen.
Siehe dazu auch:
- Vulnerability In Crypto Library, Advisory von Cisco
- Multiple DLSw Denial of Service Vulnerabilities in Cisco IOS, Advisory von Cisco
(cr)