Компания Cisco выпустила 18 бюллетеней безопасности


CiscoСегодня, 29 сентября 2016 года, компания Cisco выпустила 18 бюллетеней безопасности, описывающие множественные уязвимости в различных продуктах разработчика.

CVE-2016-6393 - уязвимость, которая при обработке некорректных попыток авторизации по SHH в AAA службе может спровоцировать аварийное завершение работы устройства под управлением Cisco IOS и IOS XE. Для успешной эксплуатации необходимо, чтобы на устройстве было включено журналирование неуспешных попыток входа.

CVE-2016-6378 - уязвимость, существующая из-за ошибки при обработке ICMP запросов при включенном NAT. Удаленный атакующий может аварийно завершить работу службы NAT на уязвимой версии Cisco IOS XE.

CVE-2016-6380 - ошибка в некорректной обработке DNS запросов. Злоумышленник, способный перехватить DNS запрос и отправить его обратно устройству может аварийно завершить работу IOS и IOS XE.

Также производитель устранил уязвимости отказа в обслуживании:

  • при обработке SIP сообщений - CVE-2016-6391;
  • фрагментированных IKEv1-пакетов - CVE-2016-6381;
  • в реализации механизма IPDR - CVE-2016-6379;
  • обработке фрагментированных IPv4-пакетов - CVE-2016-6386;
  • в реализации IPv4 Multicast Source Discovery Protocol (MSDP) и IPv6 Protocol Independent Multicast (PIM) протоколов - CVE-2016-6382 и CVE-2016-6392 соответственно.


Также производитель внес последние правки в используемую версию OpenSSL.

Без исправлений остались уязвимость:

  • в реализации протокола OSPF в IOS XR;
  • в FTP-службе на Cisco AsyncOS.

Обновлено (29.09.2016 22:25)