עדכוני אבטחה של Cisco סקווש Bugs Bugs

סיסקו פרסמה שמונה עדכוני אבטחה עבור מערכת ההפעלה Internetwork System (IOS) המשמשת להפעלת הנתבים שלה.

הטלאים שוחררו ביום רביעי, ביום שבו סיסקו תכננה בעבר את העדכונים שלה פעמיים בשנה. אף אחד מהחרקים לא נחשף בפומבי לפני העדכונים של יום רביעי, אבל חלק מהם דווחו על ידי סיסקו על ידי מקורות חיצוניים.

רוב החרקים יכולים להיות מנוצלים על ידי התוקפים לקרוס או איכשהו לשבש את השירות לנתב, בדרך כלל אם (901)> לדוגמה, סיסקו תיקנה שני באגים בתוכנה SSLVPN (Secure Sockets Layer Virtual Private Network) שלה, המאפשרת גישה של שרתים, יכול לשמש כדי לקרוס את המכשיר. התוקפים יכולים לנצל אחד מאלה על ידי שליחת מנות HTTPS בעלות מבנה מיוחד לנתב. הבאג אינו משפיע על המשתמשים של התקן ASA 5500 של החברה או על תוכנת Cisco IOS XR או XE.

SSLVPN מאפשר למשתמשים מחוץ לחומת האש של הארגון לגשת לרשת של החברה שלהם באמצעות דפדפן אינטרנט, במקום להתקין תוכנת VPN מיוחדת PC שלהם.

באג רציני נוסף משפיע על אלה שאיפשרו את Secure Copy Protocol (SCP), המשמש להעברת קבצים דרך הרשת. בגלל באג זה, משתמש מאומת במכשיר יכול "להעביר קבצים אל ומכשיר Cisco IOS המוגדר להיות שרת SCP, ללא תלות במה שהמשתמשים מורשים לעשות", אמרה סיסקו ביועצתה. זה יכול לאפשר למשתמש להתעסק עם קבצי התצורה של הנתב או להתגנב להציץ סיסמאות, סיסקו אמר. זה היה דיווח על סיסקו על ידי קווין על ידי קווין גרהם, החברה אמרה.

פרטים נוספים על העדכונים ניתן למצוא כאן.

הבא של סיסקו של טלאים IOS הבא הוא בשל ספטמבר 23.