Menü
Alert!
Security

Cisco: Update-Rundumschlag für zahlreiche Produkte

Auf Ciscos Patch-Liste standen diesmal in erster Linie IP-Telefone und Netzwerk-Switches. Die gefixten Lücken dürften manchem Admin bereits bekannt vorkommen.

vorlesen Drucken Kommentare lesen 15 Beiträge

Cisco hat Security Advisories zu insgesamt zehn Sicherheitslücken veröffentlicht. Fünf der durchweg mit dem Risikofaktor "High" bewerteten Lücken betreffen IP-Telefone der 7800er-, 8800er- und 9000er-Serie. Die übrigen stecken im herstellereigenen Netzwerk-Betriebssystem NX-OS, was zur Sicherheitsanfälligkeit NX-OS-basierter Geräte führt. Das sind vor allem Nexus-Switches, aber auch einige UCS Fabric Extender/Interconnects, "Firepower"-Firewalls und weitere Netzwerkkomponenten.

Die Schwachstellen in den IP-Telefonen befinden sich allesamt im webbasierten Management-Interface der Session Initiation Protocol (SIP)-Software. Sie sind durchweg aus der Ferne ausnutzbar und können Angreifern unter anderem Denial-of-Service (DoS)-Attacken und die Ausführung beliebigen Codes ermöglichen. Wieder einmal basiert eine der Lücken auf einem standardmäßig aktiven Account mit Default-Passwort. Bei Cisco wurde genau dieses Problem bereits im Februar sowie in der vergangenen Woche in Sicherheitshinweisen thematisiert. Für SIP-Schwachstellen gilt ähnliches.

Im Gegensatz zu den IP-Telefon-Lücken ist von den fünf NX-OS-Lücken nur eine aus der Ferne ausnutzbar. Die genannten Angriffsmöglichkeiten (DoS, Remote Code Execution) sind ähnlich – der Déjà-vu-Effekt in Bezug auf erst kürzlich veröffentlichte Cisco-Sicherheitshinweise auch.

Für alle zehn Sicherheitslücken stehen Updates bereit, die Admins zügig einspielen sollten. Details zu den betroffenen Geräten und den notwendigen Aktualisierungsschritten sind den Sicherheitshinweisen zu entnehmen:

(ovw)