Проблемы могут использоваться для получения повышенных привилегий или осуществления атак, приводящих к сбою в работе устройства.
Компания Cisco выпустила обновления, исправляющие 13 уязвимостей высокой степени опасности, которые затрагивают устройства, использующие сетевое программное обеспечение IOS и IOS XE. Проблемы представляют особую опасность, поскольку могут использоваться для повышения привилегий или осуществления атак, приводящих к сбою в работе устройства.
Компания также выпустила исправления для еще 11 проблем со средним уровнем опасности, большинство из которых также затрагивают IOS и IOS XE. Обновления для 13 опасных уязвимостей являются частью пакета исправлений Cisco, выходящего дважды в год.
Известно, что ни одна из проблем не была проэксплуатирована злоумышленниками, а информация о них не была раскрыта до выхода исправлений.
Одна из уязвимостей затрагивает web-интерфейс IOS XE и может позволить удаленному злоумышленнику вызвать перезагрузку устройства, отправив специально сформированный HTTP-запрос на пользовательский интерфейс.
Еще одна уязвимость отказа в обслуживании обнаружена в коде драйвера IPsec для нескольких платформ Cisco IOS XE и адаптивного устройства Cisco ASA 5500-X Series Adaptive Security Appliance (ASA). Проблемный код некорректно обрабатывает пакеты заголовков аутентификации IPsec (AH) и пакеты Encapsulating Security Payload (ESP).
«Злоумышленник может проэксплуатировать данную уязвимость, используя обработанный пакет ESP или AH, который удовлетворяет несколько других условий, таких как сопоставление SPI IPsec SA и нахождение определенных последовательностей в правильном окне», — отметили представители Cisco.
