Cisco выпустила серию патчей, устраняющих DoS-уязвимости в продуктах компании


CiscoКомпанией Cisco Systems была выпущена серия патчей, призванных устранить 6 опасных уязвимостей в:

  • программном обеспечении контроллеров Cisco WLC (Wireless LAN Controller);
  • межсетевых экранах Cisco ASA (Adaptive Security Appliance);
  • библиотеке протокола SRTP (Secure Real-Time Transport Protocol), реализованного в значительном количестве продуктов.


Эксплуатация ошибок позволяет вызвать отказ в работе устройства.

Программное обеспечение Cisco WLC содержит 2 DoS-уязвимости, одна из которых (CVE-2016-1363) оценена в 10 баллов по шкале CVSS. Последняя позволяет удаленному атакующему вызвать переполнение буфера, которое ведет к отказу обслуживания целевого устройства, или позволяет выполнить произвольный код.

Уязвимыми являются следующие версии продукта Cisco WLC:

  • Все версии 7.2;
  • Все версии 7.3;
  • Все версии от 7.4 до 7.4.140.0 (MD);
  • Все версии 7.5;
  • Все версии 7.6;
  • Все версии от 8.0 до 8.0.115.0 (ED);


Проблема не затрагивает релиз 8.1 и более поздние.

Также производитель исправил ошибку в программном обеспечении Cisco ASA, которая позволяла удаленному неаутентифицированному пользователю вызвать перезагрузку целевого устройства. Уязвимость существовала из-за некорректной проверки DHCPv6-пакетов. Атакующий может проэксплуатировать проблему путем отправки специально сформированных DHCPv6-пакетов и вызвать отказ обслуживания уязвимого устройства.

И напоследок, компания выпустила исправленную версию библиотеки libSRTP 1.5.3, устранив уязвимость в криптографической подсистеме libSRTP. Эксплуатация ошибки позволяет удаленному неавторизованному злоумышленнику вызвать отказ обслуживания целевого устройства при помощи специально сформированного SRTP-пакета. Напомним, что протокол SRTP реализован в многочисленных продуктах Cisco.


Обновлено (23.04.2016 01:40)