Netzwerkausrüster Cisco hat Updates für Nexus-Switches der 9000er Serie veröffentlicht, die eine Sicherheitslücke in der Application-Centric-Infrastructure (ACI)-Switch-Software schließen. Über die Lücke könnten unauthentifizierte Angreifer aus benachbarten Netzwerken unter bestimmten Voraussetzungen einen Denial-of-Service-Zustand provozieren oder beliebigen Code mit Root-Rechten ausführen.
Cisco stuft das von CVE-2019-1901 ausgehende Sicherheitsrisiko im Security Advisory als hoch ein. Die Lücke besteht demnach in einer fehlerhaften Validierung bestimmter Informationen aus LLDP-Paket-Headern. Sie kann von Angreifern ausgenutzt werden, indem diese mittels eines speziell präparierten, an das Angriffsziel gesendeten Pakets einen Buffer-Overflow verursachen.
Verwundbar sind Nexus-9000-Switches im ACI-Modus, sofern sie eine Version der ACI-Software vor 13.2(7f) oder alternativ ein beliebiges 14.x-Release verwenden. Version 13.2(7f) schließt die Lücke; zusätzlich plant Cisco, sie diesen Monat im Maintenance-Release 14.1(2) zu beseitigen.
Weitere Informationen zu CVE-2019-1901, (nicht) betroffenen Geräten und verfügbaren Updates sind Ciscos Advisory zu entnehmen.
Quelle: Cisco veröffentlicht wichtiges Software-Update für Nexus-Switches | heise online