برطرف شدن رخنههای امنیتی بحرانی در محصولات سیسکو
شرکت سیسکو به منظور برطرف کردن چندین آسیبپذیری اجرای دستور دلخواه و انکار سرویس در محصولات خود، چندین به روزرسانی امنیتی منتشر کرده است.
اواخر هفته گذشته شرکت سیسکو برای برخی از محصولات خود به روزرسانی امنیتی منتشر کرد تا چندین آسیبپذیری اجرای دستور دلخواه و انکار سرویس را در این محصولات برطرف کند.
این شرکت نسخه جدید نرمافزار Cisco IOS XR را منتشر کرده است تا مسالهای در رابطه با مدیریت بستههای قطعه قطعه شده را برطرف کند. این مساله میتواند برای حملات انکار سرویس برروی کارتهای Cisco CRS Route Processor مورد سوء استفاده قرار بگیرد.
اکنون انواع کارتهای آسیب پذیر و نسخههای اصلاح شده نرم افزار در راهنمایی امنیتی سیسکو در دسترس قرار دارند.
هم چنین شرکت سیسکو اصلاحیههای امنیتی برای Cisco Identity Services Engine منتشر کرده است. ISE یک پلت فرم مدیریت خط مشی برای ارتباطات سیمیف بیسیم و VPN است.
این اصلاحیه، آسیب پذیری را برطرف می کند که می تواند توسط مهاجمان راه دور احراز هویت شده برای اجرای دستورات دلخواه بر روی سیستم عامل مورد سوء استفاده قرار بگیرد، هم چنین آسیب پذیری دیگری را برطرف می کند که می تواند به مهاجم اجازه دهد تا سیستم احراز هویت را دور زند و پیکربندی محصولات یا سایر اطلاعات حساس مانند اعتبارنامههای مدیریتی را دانلود کند.
این شرکت اصلاحیه هایی برای برطرف کردن آسیب پذیری موجود در Apache Struts را منتشر کرده است. Apache Struts یک چارچوب کاری منبع باز است که برای برنامههای کاربردی وب مبتنی بر جاوا به کار برده می شود.
بنا بر اعلام مرکز ماهر، شرکت سیسکو در راهنمایی امنیتی خود آورده است که تاثیر این آسیب پذیری بر محصولات سیسکو به محصول آسیب پذیری وابسته است.
سوء استفاده موفقیت آمیز بر روی Cisco ISE، Cisco Unified SIP Proxy و Cisco Business Edition 3000 می تواند باعث اجرای دستورات دلخواه برروی سیستم آلوده شود.
این شرکت اضافه کرد که برای اجرای حملات برروی Cisco ISE و Cisco Unified SIP Proxy نیاز به احراز هویت نیست اما سوء استفاده موفقیت آمیز از این آسیب پذیری برروی Cisco Business Edition 3000 مستلزم آن است که مهاجم اعتبارنامههای معتبر داشته باشد یا کاربر را با اعتبارنامههای معتبر فریب دهد تا یک آدرس URL مخرب را اجرا کند.
در راهنمایی امنیتی این شرکت آمده است که سوء استفاده موفقیت آمیز از آسیبپذیری برروی Cisco MXE 3500 Series میتواند به مهاجم اجازه دهد تا کاربر را به سمت وب سایت مخرب هدایت کند. با این حال اجرای دستور دلخواه بر روی این محصول امکان پذیر نیست.