Offenbar wurde im Versionsstrang 16.x ein Backdoor-Account von IOS EX vergessen. Die Restlichen Ausgaben sollen nicht betroffen sein. Mit dem Account ist es möglich, aus der Ferne mit einem Standard Nutzernamen und Passwort auf die Geräte zuzugreifen und zu übernehmen. Ist ein Update nicht möglich, so muss ein Workaround gemacht werden. Mit dem Kommando "no username cisco" können Admins den Backdoor-Account entfernen.

Geräte mit IOS und IOS XE können aufgrund einer nicht ausreichenden Überprüfung von Angreifern aus der Ferne via DoS-Attacke ausgeschaltet werden. Die dritte kritische Lücke befindet sich im Quality of Service-Subsystem von IOS und IOS XE.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE