Среди исправленных брешей одна — критическая и еще несколько — высокой степени серьезности.
Клиенты компании Cisco получили уведомление о том, что производитель сетевого оборудования исправил одну критическую и пять серьезных уязвимостей в инструменте управления сетевой инфраструктурой Prime Collaboration Provisioning (PCP). Бреши были обнаружены в ходе внутреннего аудита и, по словам представителей компании, не эксплуатировались.
Наиболее опасным багом можно считать CVE-2018-0321, который открывает злоумышленнику удаленный доступ к системе RMI в обход аутентификации. В результате взломщик может совершать вредоносные действия на уязвимой PCP и подключенных к ней устройствах.
Две бреши более низкой степени критичности связаны с возможностью сброса пароля без аутентификации и повышения привилегий атакующего. Для этой цели злоумышленнику необходимо отправить специальный запрос на смену пароля. Еще один серьезный дефект позволяет удаленно исполнять произвольный SQL-запрос, а два бага допускают повышение привилегий из-за изъянов в алгоритмах контроля и разграничения доступа.
Также на этой неделе была исправлена критическая уязвимость, связанная с ошибками в системе аутентификации и отчетности в сервисах Cisco IOS XE, способная привести к атакам отказа в обслуживании и произвольного исполнения кода. Опасность бага CVE-2018-0315 состоит в том, что он делал возможным удаленное нападение. Кроме того, производитель исправил серьезные бреши в продуктах IP Phone и Adaptive Security Appliance (ASA), Web Security Appliance (WSA) и Network Services Orchestrator (NSO).Чтобы закрыть уязвимости, пользователям необходимо обновить систему до версии 12.3, хотя некоторые патчи вошли уже в две предыдущие версии.
Cisco регулярно выпускает обновления, повышающие безопасность продуктов компании. Немного ранее производитель телекоммуникационного оборудования закрыл уязвимость в Secure Access Control System, связанную с обходом аутентификации и удаленным исполнением кода. В марте с плановым обновлением были исправлены 22 уязвимости, в том числе две критические, связанные с жестко запрограммированным паролем в PCP и ошибкой десериализации объектов в Java.