Cisco устранила опасные уязвимости в своих маршрутизаторах и LAN контроллерах
Бреши позволяют получить административный доступ к уязвимым устройствам, а также вызвать отказ в обслуживании.
Бреши позволяют получить административный доступ к уязвимым устройствам, а также вызвать отказ в обслуживании.

Разработчики Cisco Systems выпустили новую версию прошивки для ряда моделей беспроводных маршрутизаторов и LAN контроллеров компании. Среди прочего, обновление содержит исправление опасной уязвимости, позволяющей скомпрометировать уязвимые устройства или нарушить их корректную работу.

Эксплуатация наиболее опасной бреши, обнаруженной в web-интерфейсе управления в RV110W Wireless-N VPN Firewall, RV215W Wireless-N VPN Router и CVR100W Wireless-N VPN Router, позволяет неавторизованному пользователю удаленно получить административный доступ к этим устройствам.

"Уязвимость существует из-за неправильной обработки запросов на аутентификацию в web фреймворке, - следует из  уведомления безопасности  Cisco. - Атакующий может использовать ее для перехвата, изменения и повторной отправки такого запроса. Успешная эксплуатация позволяет получить административный доступ к web-интерфейсу управления".

Перечень версий прошивок, содержащих необходимое исправление, выглядит так:

RV110W Wireless-N VPN Firewall - 1.2.0.10

RV215W Wireless-N VPN Router - 1.1.0.6

CVR100W Wireless-N VPN Router - 1.0.1.21

В виду того, что брешь имеет высокую степень опасности, а также из-за отсутствия альтернативных способов ее устранения, разработчики настоятельно рекомендуют установить исправление в кратчайшие сроки.

Отдельно в Cisco  сообщают , что ими также было исправлено несколько менее опасных уязвимостей, позволяющих вызвать отказ в обслуживании. Перечень уязвимых устройств в этом случае значительно шире. (http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140305-wlc)

For specific version information, see the "Software Versions and Fixes" section of this advisory.
At least one of the vulnerabilities covered in this security advisory affects each of the following products:

Stand Alone Controllers
Cisco 500 Series Wireless Express Mobility Controllers
Cisco 2000 Series Wireless LAN Controllers
Cisco 2100 Series Wireless LAN Controllers
Cisco 2500 Series Wireless Controllers
Cisco 4100 Series Wireless LAN Controllers
Cisco 4400 Series Wireless LAN Controllers
Cisco 5500 Series Wireless Controllers
Cisco Flex 7500 Series Wireless Controllers
Cisco 8500 Series Wireless Controllers
Cisco Virtual Wireless Controller

Modular Controllers
Cisco Catalyst 6500 Series/7600 Series Wireless Services Module (Cisco WiSM)
Cisco Wireless Services Module version 2 (WiSM2)
Cisco NME-AIR-WLC Module for Integrated Services Routers (ISRs)
Cisco NM-AIR-WLC Module for Integrated Services Routers (ISRs)
Cisco Catalyst 3750G Integrated WLC
Cisco Wireless Controller Software for Services-Ready Engine (SRE) *
* Covers the Integrated Services Module 300 and Cisco Services-Ready Engine 700, 710, 900, and 910 products.
Источник: www.securitylab.ru
Источник: www.securitylab.ru
Вы должны войти

loading