Alert!

Updates verfügbar: Cisco fixt unter anderem kritische Lücke in APIC & Cloud APIC

Für die Verwaltungskomponente von Ciscos Application Centric Infrastructure (ACI) und viele weitere Produkte stehen wichtige Aktualisierungen bereit.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 2 Min.

Netzwerkausrüster Cisco hat Sicherheitsupdates für eine ganze Reihe von Produkten veröffentlicht. Die einzige kritische Sicherheitslücke, die dabei geschlossen wurde, betrifft den Cisco Application Policy Infrastructure Controller (APIC) sowie dessen Cloud-Pendant als Herzstücke von Ciscos Application Centric Infrastructure (ACI).

Ein entfernter, unauthentifizierter Angreifer könnte die Lücke in einem API-Endpunkt (CVE-2021-1577, CVSS-Score 9.1) durch das Hochladen einer speziell präparierten Datei für lesende und schreibende Dateizugriffe missbrauchen. Updates sind verfügbar; Workarounds gibt es nicht.

Ciscos Übersicht listet verwundbare und abgesicherte APIC-Releases auf.

(Bild: Screenshot)

Auf APIC zielen noch zwei weitere frisch veröffentlichte Sicherheitshinweise – außerdem auf Nexus 9000-Switches und die Netzwerksoftware NX-OS. Die Risikoeinstufung lautet jeweils "High"; mögliche Folgen eines gelungen Angriffs können je nach Lücke und Produkt etwa das Erlangen von Admin-Rechten durch den Angreifer (beim APIC) oder Denial-of-Service-Zustände (bei Nexus-Switches bzw. NX-OS) sein.

Eine Übersicht über die Advisories zu High-Severity-Lücken haben wir hier zusammengestellt. Zusätzlich hat Cisco noch einige Sicherheitslücken mit "Medium"-Einstufung aus weiteren Produkten beseitigt. Eine Liste aller verfügbaren Advisories liefert Ciscos Security Center.

Neben den neu veröffentlichten gibt es auch ein aktualisiertes Advisory, nämlich jenes zur kritischen Lücke im Echtzeitbetriebssystem QNX von Blackberry, über die Angreifer eingebettete Systeme attackieren und im schlimmsten Fall Schadcode ausführen könnten (CVE-2021-22156). Laut aktualisiertem Advisory zu BlackBerry QNX hat Cisco die Untersuchung der eigenen Produkte abgeschlossen und innerhalb des eigenen Portfolios keine Verwundbarkeit via CVE-2021-22156 entdeckt.

(ovw)