Производитель устранил три бреши, связанные с недостаточной проверкой данных в одном из компонентов системы.
Компания Cisco выпустила обновление для операционных систем Cisco IOS и Cisco IOS XE, в котором были исправлены три уязвимости. Как сообщается в соответствующем бюллетене безопасности, бреши позволяли осуществить спуфинг-атаку и вызвать отказ в обслуживании.
Все исправленные уязвимости эксплуатируют ошибку в компоненте Autonomic Network Infrastructure (ANI), который расширяет возможности самоуправления в маршрутизаторах с поддержкой IPv6 и Ethernet-коммутаторах. К примеру, ANI убирает необходимость в pre-staging-стадии, позволяя устройствам незамедлительно подключаться к сети.
Первая уязвимость существует из-за недостаточной проверки данных в ответных сообщениях компонента Autonomic Networking. Удаленный пользователь может осуществить спуфинг-атаку, что позволит ему подключать устройства к недоверенным доменам и осуществлять DoS-атаки. Бреши был присвоен идентификатор CVE-2015-0635.
Вторая уязвимость напрямую связана с первой. Брешь CVE-2015-0636 позволяет удаленному пользователю осуществлять DoS-атаки, отправляя спуфинговые сообщения о перегрузке компонента AN. Вследствие этого происходит перезагрузка конечного автомата.
Третья уязвимость также позволяет осуществлять DoS-атаки. Брешь CVE-2015-0637 существует из-за недостаточной проверки AN-сообщений. Удаленный пользователь может это проэксплуатировать и вызвать перезагрузку целевой системы с помощью специально сформированного сообщения.
Для устранения уязвимостей необходимо установить последние исправления с сайта производителя.
Источник : securitylab.ru
Комментариев нет:
Отправить комментарий