Im Rahmen von Ciscos halbjährlichem Patchday wurden 13 schwerwiegende Sicherheitsanfälligkeiten in den Betriebssystemen IOS und IOS XE öffentlich gemacht. Dabei könnten Angreifer unter Umständen nicht autorisierten Zugriff auf Netzwerkgeräte erlangen oder die Geräte mit Denial-of-Service-Attacken lahm legen. Es wird den Kunden geraten, sicherzustellen, dass die aktuellste Software genutzt wird.

Cisco bewertet eine Schwachstelle (CVE-2019-12648) mit 9,9 von 10 Punkten im Common Vulnerability Scoring System (CVSS). Diese betrifft Ciscos 800 Series Industrial Integrated Services Routers und die 1000 Series Connected Grid Routers. Dennoch gilt sie nicht als kritisch, weil sie in einem Gastbetriebssystem stecke und Angreifer laut Cisco unter keinen Umständen höhere Rechte für IOS selbst erhalten könnten.

Darüber hinaus sei auch das Layer 2 Network Traceroute Utility von IOS und IOS XE betroffen; es erlaube ohne Authentifizierung Informationen wie IP- und MAC-Adressen, das Cisco Discovery Protocol und die VLAN-Datenbank zu lesen. Dafür ist bereits Exploit-Code im Umlauf, weshalb geraten wird, den L2-Traceroute-Server zu deaktivieren. In den neusten Versionen von IOS und IOS XE wird die Funktion automatisch abgeschaltet sein.

(tl, hannover)

(siehe auch: zdnet.de)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE