Updates für IOS, NX-OS und Co. – Cisco flickt seine Netzwerkbetriebssysteme

  • Tipp

  • mad.de
  • 661 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Updates für IOS, NX-OS und Co. – Cisco flickt seine Netzwerkbetriebssysteme

    Ein ganzes Bündel frisch veröffentlichter Updates behebt zahlreiche Sicherheitsprobleme, von denen viele als "High" bis "Critical" eingestuft wurden.

    Cisco hat am gestrigen Mittwoch eine Reihe von Security Advisories veröffentlicht, die sich mit Sicherheitslücken in den Netzwerkbetriebssystemen IOS, IOS XE, IOS XR und NX-OS sowie in der IOx-Anwendungsumgebung befassen. Vier der Lücken gelten als kritisch, 21 weiteren wurde der Schweregrad "hoch" zugeordnet.

    Anwender sollten zeitnah einen Blick auf Ciscos Übersicht über die Advisories werfen, die das Unternehmen im Rahmen eines halbjährlichen IOS- and IOS XE-Update-Zyklus veröffentlicht hat. Sie umfassen detaillierte Beschreibungen sowie Updates und/oder Workarounds.

    Dabei ist allerdings zu beachten, dass die in der Übersicht enthaltene Tabelle nur jene 23 Advisories umfasst, die die 25 Lücken mit "High"- und "Critical"-Einstufung behandeln. Eine entsprechend gefilterte Suche in Ciscos Security-Center liefert zusätzlich noch weitere seit Anfang Juni erschienener Advisories zurück, die größtenteils ebenfalls Lücken in den Netzwerkbetriebssystemen behandeln – allerdings weisen die "nur" eine "Medium"-Einstufung auf.

    Kritische Lücken in IOS und in IOx für IOS XE
    Die kritischen Lücken betreffen IOS und IOx für IOS XE. Abhängig von Konfiguration und verwendeter Hardware könnten Angreifer sie aus der Ferne (je nach Lücke übers Internet beziehungsweise über ein benachbartes Netzwerk) ausnutzen, um ohne vorherige Authentifizierung Befehle auszuführen oder Systemabstürze nebst anschließender Neustarts zu provozieren.

    Die Ausnutzbarkeit unterliegt allerdings gewissen Einschränkungen:
    • IOx for IOS XE Software Privilege Escalation Vulnerability (CVE-2020-3227): Verwundbar sind Releases ab Version 16.3.1 aufwärts, sofern sie mit der "IOx Application Hosting Infrastructure" konfiguriert wurden, was aber nicht den Default-Einstellungen entspricht.
    • IOS Software for Cisco Industrial Routers Virtual Device Server Inter-VM Channel Command Injection Vulnerability (CVE-2020-3205) und IOS Software for Cisco Industrial Routers Arbitrary Code Execution Vulnerabilities (CVE-2020-3198, CVE-2020-3258): Verwundbar sind IOS-Installationen auf Cisco 809 und 829 Industrial ISRs sowie auf CGR1000-Routern.

    Quelle: Updates für IOS, NX-OS und Co. – Cisco flickt seine Netzwerkbetriebssysteme | heise online