Für mehrere seiner Geräte und Softwareprodukte hat Cisco Sicherheitsupdates bereitgestellt. Ein hohes Sicherheitsrisiko ging von einigen der hierdurch geschlossenen Lücken aus: Dies können unter bestimmten Voraussetzungen eine Übernahme der betroffenen Geräte ermöglichen, sagt das US-CERT. Cisco stuft eine Lücke gar als kritisch ein. Dem Sicherheitscenter des Herstellers ist eine vollständige Liste der betroffenen Produkte zu entnehmen.

In Ciscos SD-WAN-Lösung steckt die kritischste Lücke (CVE-2019-1651). Eine Authentifizierung entfernter Angreifer, der eine Denial-of-Service herbeiführt, um anschließend beliebigen Code mit root-Rechten auszuführen, ermöglicht die Lücke. Die Kombination von Cisco vSmart Controller Software mit der SD-WAN Solution vor Version 18.4.0 ist davon betroffen.

Cisco nennt im Security Advisory weitere Details zur Lücke und weist zudem darauf hin, dass sich betroffene Kunden mit dem Support in Verbindung setzen sollen, um Hilfestellung zu erhalten -- ein vorgefertigtes Update fürs Deployment auf eigene Faust steht in diesem konkreten Fall nämlich nicht bereit.

Lücken mit der Risiko-Einstufung "High" befinden sich unter anderem in den Texas-Instruments-Chips CC2640 and CC2650, die in mehreren Access Points von Cisco zum Einsatz kommen, in mehreren WebEx-Komponenten, in der Identity Services Engine (ISE) sowie in den Routern RV320 and RV325.

Noch zwei weitere Einträge mit Updates vom 11. beziehungsweise 16. Januar enthält die Liste im Cisco Sicherheitscenter. Sie betreffen die Commons FileUpload Library von Apache Struts sowie die Software Small Business Switches. Auch diese Lücken gelten als kritisch, so dass Anwender wiederum zeitnah handeln sollten.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE