Alert!

Cisco stopft teils hochriskante Schwachstellen

Für mehrere Produkte stellt Netzwerkausrüster Cisco Sicherheitsupdates bereit. Sie schließen teils als hohe Bedrohung eingestufte Schwachstellen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 4 Beiträge
Aufmacher Cisco viele Patches

(Bild: Michael Vi/Shutterstock.com)

Von

In mehreren Produkten aus dem Portfolio hat Cisco Sicherheitslücken aufgespürt und Aktualisierungen bereitgestellt, die sie schließen sollen. Zudem hat das Unternehmen eine Sicherheitsnotiz zu einer potenziellen Schwachstelle bei der SSH-Authentifizierung veröffentlicht, die bei nicht unterstützten Authentifizierungsmethoden zur Rechteausweitung im System missbraucht werden könnte.

In Ciscos Application Policy Infrastructure Controller (APIC) und Cloud Network Controller klaffte eine Cross-Site-Request-Forgery-Lücke. Nicht angemeldete Angreifer aus dem Netz hätten dadurch im Kontext von Nutzern beliebige Aktionen in der Web-basierten Verwaltungsoberfläche ausführen können. Dazu hätten Opfer lediglich einen präparierten Link klicken müssen (CVE-2023-20011, CVSS 8.8, Risiko "hoch").

Die Nexus-9000 Fabric-Switches von Cisco haben zudem eine Schwachstelle im Link Layer Discovery Protocol (LLDP). Angreifer aus dem Netz könnten ohne vorherige Anmeldung mit manipulierten LLDP-Paketen für eine Denial-of-Service-Attacke missbrauchen. Solche Pakete können ein Speicherleck provozieren, in dessen Folge die Geräte unerwartet neu starten (CVE-2023-20089, CVSS 7.4, hoch).

Die konkret betroffenen Versionen, die dafür bereitstehenden Aktualisierungen und gegebenenfalls temporäre Gegenmaßnehmen erläutert Cisco in den jeweiligen Sicherheitsmeldungen. Nach absteigender Risikoeinstufung sortiert:

IT-Verantwortliche sollten die Aktualisierungen zeitnah herunterladen und installieren, um die potenzielle Angriffsfläche zu minimieren.

Cisco hatte erst vergangene Woche bereits zahlreiche Produkte mit Sicherheitsupdates versorgt. Unter anderem gehörte eine als kritisch eingestufte Schwachstelle in der Antivirensoftware ClamAV zu den damit behobenen Fehlern.

(dmk)