Updates: Cisco sichert sein Router- und Switch-System IOS ab
Der NetzwerkausrĂĽster Cisco schlieĂźt jede Menge SicherheitslĂĽcken in seinem Betriebssystem IOS . Keine der Schwachstellen gilt als kritisch.
Ciscos Internetwork Operating System (IOS) ist über mehrere Sicherheitslücken angreifbar. Das System kommt auf Routern und Switches des Herstellers zum Einsatz. Nutzen Angreifer die Lücken erfolgreich aus, könnten sie die komplette Kontrolle über Geräte erlangen. Sicherheitsupdates schaffen Abhilfe.
In seinem Sicherheitscenter hat Cisco den Großteil der Schwachstellen mit dem Bedrohungsgrad "hoch" eingestuft. In vielen Fällen sollen Attacken über das Internet möglich sein. Da Angreifer in vielen authentifiziert sein müssen, wurde keine kritische Einschätzung vergeben.
Neben der Ausführung von Schadcode sind auch DoS-Angriffe vorstellbar. Darüber können Angreifer Geräte quasi ausknipsen. Zudem könnten Angreifer sich höhere Nutzerrechte aneignen. Neben den IOS-Lücken warnt Cisco auch vor Schwachstellen in den Small Business Routern RV320 und RV325.
Seltsamer "Patch"
In einem ersten Anlauf hat Cisco diese Lücken damit "gepatcht", dass sie einfach pauschal den HTTP-User-Agent "curl" auf eine Blacklist gesetzte haben – das zeugt nicht gerade von Kompetenz. Nun hat der Netzwerkausrüster einen neues Update (1.4.2.21) angekündigt, das aber erst Mitte April erscheinen soll.
Die Liste der Fixes nach Bedrohungsgrad absteigend sortiert:
- IOS XE Software Command Injection
- IOS XE Software Privilege Escalation
- IOS XE Software Arbitrary File Upload
- IOS XE Software Privilege Escalation
- IOS and IOS XE Software Short Message Service Denial of Service
- IOS and IOS XE Software Network-Based Application Recognition Denial of Service
- IOS XE Software Encrypted Traffic Analytics Denial of Service
- IOS Software NAT64 Denial of Service
- IOS and IOS XE Software ISDN Interface Denial of Service
- IOS and IOS XE Software IP Service Level Agreement Denial of Service
- IOS XE Software Information Disclosure
- IOS and IOS XE Software Cluster Management Protocol Denial of Service
- Aggregation Services Router 900 Route Switch Processor 3 OSPFv2 Denial of Service
- IOS XE Software Catalyst 4500 Cisco Discovery Protocol Denial of Service
- IOS and IOS XE Software Network Plug-and-Play Agent Certificate Validation
- IOS XE Software Command Injection
- IOS XE Software Performance Routing Version 3 Denial of Service
- IOS XE Software Command Injection
- IOS and IOS XE Software Smart Call Home Certificate Validation
- IOS XE Software Gigabit Ethernet Management Interface Access Control List Bypass
- IOS Software Catalyst 6500 Series 802.1x Authentication Bypass
- IOS and IOS XE Software Information Disclosure
- IOS and IOS XE Software Hot Standby Router Protocol Information Leak
[UPDATE 28.03.2019 13:15 Uhr]
Hinweis zum Update fĂĽr die Small Business Router RV320 und RV325 im FlieĂźtext eingefĂĽgt. (des)
