Критические уязвимости в коммутаторах Cisco серии Small Business
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В коммутаторах Cisco серии Small Business выявлено 4 уязвимости, позволяющие удалённому атакующему без прохождения аутентификации получить полный доступ к устройству с правами root. Для эксплуатации проблем атакующий должен иметь возможность отправки запросов на сетевой порт, обеспечивающий работу web-интерфейса. Проблемам присвоен критических уровень опасности (9.8 из 10). Сообщается о наличии прототипа рабочего эксплоита.
Выявленные уязвимости (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20189) вызваны ошибками при работе с памятью в различных обработчиках, доступных на стадии до прохождения аутентификации. Уязвимости приводят к переполнению буфера при обработке специально оформленных внешних данных. Кроме того, в серии Cisco Small Business выявлены четыре менее опасные уязвимости (CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158), позволяющие удалённо инициировать отказ в обслуживании, и одна уязвимость (CVE-2023-20162), дающая возможность без аутентификации получить сведения о конфигурации устройства.
Уязвимости затрагивают серии Smart Switch 250, 350, 350X, 550X, Business 250 и Business 350, а также серии Small Business 200, 300 и 500. В коммутаторах серии 220 и Business 220 уязвимость не проявляется. Проблемы устранены в обновлениях прошивки 2.5.9.16 и 3.3.0.16. Для серий Small Business 200, 300 и 500 обновления прошивки сформированы не будут, так как жизненный цикл данных моделей уже завершён.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://sec.cloudapps.cisco.co...)
- OpenNews: Уязвимость в коммутаторах Cisco Catalyst PON, позволяющая войти через telnet без знания пароля
- OpenNews: Взлом серверов компании Cisco, обслуживающих инфраструктуру VIRL-PE
- OpenNews: Уязвимости, позволяющие захватить управление коммутаторами Cisco, Zyxel и NETGEAR на чипах RTL83xx
- OpenNews: Уязвимости в Cisco RV32x были "устранены" через блокировку запросов от утилиты curl
- OpenNews: Критическая уязвимость в коммутаторах Cisco
Похожие новости:
- Проект Yuzu развивает открытый эмулятор игровой приставки Nintendo Switch
- Выпуск DentOS 2.0, сетевой операционной системы для коммутаторов
- Уязвимость в коммутаторах Cisco Catalyst PON, позволяющая войти через telnet без знания пароля
- [Системное администрирование, PHP, MySQL, Программирование, Cisco] Автоматический и автоматизированный способы блокировки ресурсов по поисковой выдаче
- [IT-инфраструктура, Cisco, Git, Сетевые технологии] DRAW.io в искусстве хранения конфигов
- [Cisco, Сетевое оборудование] Как добавить коммутатор в стек Cisco C2960X и ничего не сломать
- [Игры и игровые приставки, IT-компании] Nintendo Switch OLED выйдет 8 октября и будет стоить $350
- [IT-инфраструктура, Сетевые технологии] Network Infrastructure — how is it seen by hyperscalers
- [Cisco, Сетевые технологии] Cisco IOS Internal VLANs
- [Системное администрирование, Анализ и проектирование систем, Сетевые технологии, Сетевое оборудование] Cети 10 GBE без синяков и шишек
Теги для поиска: #_cisco, #_switch
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 02:18
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В коммутаторах Cisco серии Small Business выявлено 4 уязвимости, позволяющие удалённому атакующему без прохождения аутентификации получить полный доступ к устройству с правами root. Для эксплуатации проблем атакующий должен иметь возможность отправки запросов на сетевой порт, обеспечивающий работу web-интерфейса. Проблемам присвоен критических уровень опасности (9.8 из 10). Сообщается о наличии прототипа рабочего эксплоита. Выявленные уязвимости (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20189) вызваны ошибками при работе с памятью в различных обработчиках, доступных на стадии до прохождения аутентификации. Уязвимости приводят к переполнению буфера при обработке специально оформленных внешних данных. Кроме того, в серии Cisco Small Business выявлены четыре менее опасные уязвимости (CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158), позволяющие удалённо инициировать отказ в обслуживании, и одна уязвимость (CVE-2023-20162), дающая возможность без аутентификации получить сведения о конфигурации устройства. Уязвимости затрагивают серии Smart Switch 250, 350, 350X, 550X, Business 250 и Business 350, а также серии Small Business 200, 300 и 500. В коммутаторах серии 220 и Business 220 уязвимость не проявляется. Проблемы устранены в обновлениях прошивки 2.5.9.16 и 3.3.0.16. Для серий Small Business 200, 300 и 500 обновления прошивки сформированы не будут, так как жизненный цикл данных моделей уже завершён. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 02:18
Часовой пояс: UTC + 5