Cisco veröffentlicht erneut wichtige Sicherheitsupdates
Bereits zum zweiten Mal in dieser Woche patcht Cisco Lücken in verschiedenen Produkten. Einige gelten als kritisch.
Netzwerkausrüster Cisco hat bereits zum zweiten Mal in dieser Woche zum Patch-Rundumschlag ausgeholt und mehrere Sicherheitslücken geschlossen, deren Schweregrad von "Medium" über "High" bis "Critical" reicht. Admins sollten die verfügbaren Updates zeitnah vornehmen.
Kritische Lücken in Interfaces von PI und EPN Manager
Ein entfernter Angreifer könnte sie ausnutzen, um zunächst seine Zugriffsrechte zu erweitern und anschließend beliebigen Code auf den verwundbaren Systemen auszuführen. Im Falle von CVE-2019-1821 funktioniert dies komplett ohne vorherige Authentifizierung; der Zugriff via CVE-2019-1822 and CVE-2019-1823 erfordert allerdings gültige Zugangsdaten (mit einfachen Berechtigungen).
Betroffen sind Cisco-PI-Software-Releases vor 3.4.1, 3.5 und 3.6 und EPN-Manager-Releases vor 3.0.1. Informationen zu gefixten Versionen und detaillierte Update-Hinweise sind dem Security Advisory zu entnehmen.
Übersicht über das Patch-Wirrwarr
Angesichts der extrem kurzen Intervalle, in denen Cisco derzeit Updates veröffentlicht, kann es schwerfallen, im Sicherheitscenter des Herstellers den Überblick zu behalten. Oftmals aktualisiert Cisco alte Beiträge lange nachdem sie erstmals veröffentlicht wurden.
Seit Veröffentlichung des letzten Alerts bei heise Security am vergangenen Dienstag sind (zusätzlich zu den bereits erwähnten kritischen Lücken) sieben Advisories mit der Einstufung "High" hinzugekommen:
- IOS XR Software for Cisco ASR 9000 Series Aggregation Services Routers MPLS OAM Denial of Service Vulnerability
- Cisco Webex Network Recording Player Arbitrary Code Execution Vulnerabilities
- Cisco Small Business Series Switches Simple Network Management Protocol Denial of Service Vulnerability
- Cisco Prime Infrastructure and Evolved Programmable Network Manager SQL Injection Vulnerabilities
- Cisco FXOS and NX-OS Software Simple Network Management Protocol Denial of Service Vulnerability
- Cisco IOS XR Software BGP MPLS-Based EVPN Denial of Service Vulnerability
- Cisco Video Surveillance Manager Web-Based Management Interface Information Disclosure Vulnerability
Zusätzlich liefert die "Advanced Search"-Funktion (eingegrenzt auf Veröffentlichungen seit der letzten heise-Security-Meldung bis zur Veröffentlichung der aktuellen) 37 neue Sicherheitslücken mit "Medium"-Einstufung zurück. (ovw)