zurück zum Artikel

Cisco veröffentlicht wichtiges Software-Update für Nexus-Switches

Cisco veröffentlicht wichtige Sicherheitsupdates für Nexus-Switches

Für Nexus-Switches der 9000er-Serie gibt es ein ACI-Software-Update. Es beseitigt eine mit "High" eingestufte Sicherheitslücke.

Netzwerkausrüster Cisco hat Updates für Nexus-Switches der 9000er Serie veröffentlicht, die eine Sicherheitslücke in der Application-Centric-Infrastructure (ACI)-Switch-Software schließen. Über die Lücke könnten unauthentifizierte Angreifer aus benachbarten Netzwerken unter bestimmten Voraussetzungen einen Denial-of-Service-Zustand provozieren oder beliebigen Code mit Root-Rechten ausführen.

Cisco stuft das von CVE-2019-1901 ausgehende Sicherheitsrisiko im Security Advisory als hoch ein [1]. Die Lücke besteht demnach in einer fehlerhaften Validierung bestimmter Informationen aus LLDP-Paket-Headern. Sie kann von Angreifern ausgenutzt werden, indem diese mittels eines speziell präparierten, an das Angriffsziel gesendeten Pakets einen Buffer-Overflow verursachen.

Verwundbar sind Nexus-9000-Switches im ACI-Modus, sofern sie eine Version der ACI-Software vor 13.2(7f) oder alternativ ein beliebiges 14.x-Release verwenden. Version 13.2(7f) schließt die Lücke; zusätzlich plant Cisco [2], sie diesen Monat im Maintenance-Release 14.1(2) zu beseitigen.

Weitere Informationen zu CVE-2019-1901, (nicht) betroffenen Geräten und verfügbaren Updates sind Ciscos Advisory [3] zu entnehmen. (ovw [4])


URL dieses Artikels:
http://www.heise.de/-4487162

Links in diesem Artikel:
[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190731-nxos-bo
[2] https://www.heise.de/thema/Cisco
[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190731-nxos-bo
[4] mailto:ovw@heise.de