Sicherheits-Updates von Cisco

Jumbo-Ethernet-Frames bringen Ciscos Intrusion Prevention System (IPS) aus dem Tritt, darauf weist der Hersteller in einem Fehlerbericht hin. Arbeitet das IPS im Inline Mode und empfängt ein manipuliertes Paket auf einem Gigabit-Netzwerkinterface, so kommt es zu einer Kernel Panic und zu einem Stillstand des IPS. In der Folge kann das System bei möglichen weiteren Angriffen keinen Alarm mehr schlagen. Abhilfe schafft nur ein Neustart.

Plattformen ohne Gigabit-Ethernet sind nicht verwundbar. Das Problem tritt laut Cisco auch nicht im Promiscuous Mode auf. Da Jumbo-Ethernet-Frames in der Regel von keinem Internet-Provider entgegengenommen werden, bleibt eine Attacke auf das LAN beschränkt. Betroffen sind Cisco Intrusion Prevention System in den Versionen 5.x bis vor 5.1(8)E2 sowie 6.x bis vor 6.0(5)E2. Die Versionen 5.1(8)E2 und 6.0(5)E2 will der Hersteller voraussichtlich am 20. Juni zur Verfügung stellen.

Des Weiteren gibt es eine Schwachstelle im Deterministic Network Enhancer (DNE), der im Lieferumfang des Cisco VPN Client enthalten ist. Durch eine Schwachstelle im DNE-Treiber (dne2000.sys) bei der Verarbeitung bestimmter ioctl-Aufrufe kann ein lokaler Anwender eigenen Code mit Kernelrechten ausführen und so seine Zugriffsrechte erhöhen. Der Fehler soll in Version 3.21.12.17902 des Treibers behoben sein. Cisco hat den Fehler dem US-CERT zufolge im Windows VPN Client in Version 5.0.03.0530 ebenfalls behoben.

Siehe dazu auch:

• Cisco Intrusion Prevention System Jumbo Frame Denial of Service, Bericht von Cisco
• Deterministic Network Enhancer privilege escalation vulnerability, Bericht vom US-CERT

(dab)