Alert!

Updates verfügbar: Cisco fixt unter anderem kritische Lücke in APIC & Cloud APIC

Für die Verwaltungskomponente von Ciscos Application Centric Infrastructure (ACI) und viele weitere Produkte stehen wichtige Aktualisierungen bereit.

26.08.2021, 11:43 Uhr

Lesezeit: 2 Min.

Security

Von

Olivia von Westernhagen

Netzwerkausrüster Cisco hat Sicherheitsupdates für eine ganze Reihe von Produkten veröffentlicht. Die einzige kritische Sicherheitslücke, die dabei geschlossen wurde, betrifft den Cisco Application Policy Infrastructure Controller (APIC) sowie dessen Cloud-Pendant als Herzstücke von Ciscos Application Centric Infrastructure (ACI).

Ein entfernter, unauthentifizierter Angreifer könnte die Lücke in einem API-Endpunkt (CVE-2021-1577, CVSS-Score 9.1) durch das Hochladen einer speziell präparierten Datei für lesende und schreibende Dateizugriffe missbrauchen. Updates sind verfügbar; Workarounds gibt es nicht.

Ciscos Übersicht listet verwundbare und abgesicherte APIC-Releases auf.

(Bild: Screenshot)

Cisco Advisory: Arbitrary File Read and Write Vulnerability

Sicherheitshinweise mit "High"-Kennzeichnung

Auf APIC zielen noch zwei weitere frisch veröffentlichte Sicherheitshinweise – außerdem auf Nexus 9000-Switches und die Netzwerksoftware NX-OS. Die Risikoeinstufung lautet jeweils "High"; mögliche Folgen eines gelungen Angriffs können je nach Lücke und Produkt etwa das Erlangen von Admin-Rechten durch den Angreifer (beim APIC) oder Denial-of-Service-Zustände (bei Nexus-Switches bzw. NX-OS) sein.

Eine Übersicht über die Advisories zu High-Severity-Lücken haben wir hier zusammengestellt. Zusätzlich hat Cisco noch einige Sicherheitslücken mit "Medium"-Einstufung aus weiteren Produkten beseitigt. Eine Liste aller verfügbaren Advisories liefert Ciscos Security Center.

APIC Privilege Escalation Vulnerability
APIC App Privilege Escalation Vulnerability
NX-OS Software VXLAN OAM (NGOAM) DoS Vulnerability
NX-OS Software MPLS OAM DoS Vulnerability
Nexus 9000 Series Fabric Switches DoS Vulnerability ( 1 / 2)

Blackberry-Advisory aktualisiert

Neben den neu veröffentlichten gibt es auch ein aktualisiertes Advisory, nämlich jenes zur kritischen Lücke im Echtzeitbetriebssystem QNX von Blackberry, über die Angreifer eingebettete Systeme attackieren und im schlimmsten Fall Schadcode ausführen könnten (CVE-2021-22156). Laut aktualisiertem Advisory zu BlackBerry QNX hat Cisco die Untersuchung der eigenen Produkte abgeschlossen und innerhalb des eigenen Portfolios keine Verwundbarkeit via CVE-2021-22156 entdeckt.

Lesen Sie auch

Kritische Lücke in Blackberry QNX OS gefährdet medizinische Geräte

(ovw)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}