Arami

В коммутаторах Cisco Small Business серии 220 исправлены опасные уязвимости ( 1 фото )


В коммутаторах Cisco Small Business серии 220 исправлены опасные уязвимости Интернет и компьютер,cisco,cisco small business,уязвимость

Проблемы затрагивают устройства с версией прошивки до 1.1.4.4 и включенным web-интерфейсом управления.

Компания Cisco исправила в своих интеллектуальных коммутаторах Cisco Small Business серии 220 несколько уязвимостей, в том числе критические. Проблемы затрагивают устройства Cisco Small Business серии 220 с версией прошивки до 1.1.4.4 и включенным web-интерфейсом управления.

Самой опасной является уязвимость переполнения буфера (CVE-2019-1913), позволяющая удаленному неавторизованному атакующему выполнить код с привилегиями суперпользователя. По сути, проблема представляет собой совокупность уязвимостей, объединенных под одним идентификатором CVE.

Уязвимости существуют из-за недостаточной проверки вводимых пользователем данных и некорректной проверки пределов памяти при чтении данных в буфере. Злоумышленник может проэксплуатировать уязвимость, отправив web-интерфейсу уязвимого коммутатора особым образом сконфигурированный запрос по HTTP или HTTPS (в зависимости от конфигурации устройства).

По системе оценивания опасности CVSS уязвимости получили оценку 9,8 балла из максимальных 10.

Вторая опасная уязвимость (CVE-2019-1912) позволяет удаленному неавторизованному атакующему загружать на систему произвольные файлы. Проблема связана с неэффективным механизмом авторизации в web-интерфейсе управления устройством. Для осуществления атаки злоумышленник должен отправить особым образом сконфигурированные запросы определенной части web-интерфейса. С помощью уязвимости атакующий может изменить настройки конфигурации уязвимого коммутатора и внедрить обратную оболочку.

По системе оценивания опасности CVSS уязвимость получила оценку 9,1 балла из максимальных 10.

Cisco также исправила уязвимость средней опасности (7,2 балла по системе CVSS) CVE-2019-1914, позволяющую удаленному неавторизованному атакующему внедрять команды. Уязвимость существует из-за недостаточной проверки вводимых пользователем данных. Злоумышленник может проэксплуатировать ее, отправив особым образом сконфигурированные запросы определенным частям web-интерфейса, но для этого ему необходимо установить через web-интерфейс легитимный сеанс авторизации пользователя с привилегиями 15 уровня.

Взято: Тут

+825
  • 0
  • 826
Обнаружили ошибку?
Выделите проблемный фрагмент мышкой и нажмите CTRL+ENTER.
В появившемся окне опишите проблему и отправьте уведомление Администрации.
Нужна органическая вечная ссылка из данной статьи? Постовой?
Подробности здесь

Добавить комментарий

  • Внимание!!! Комментарий должен быть не короче 40 и не длиннее 3000 символов.
    Осталось ввести знаков.
    • angelangryapplausebazarbeatbeerbeer2blindbokaliboyanbravo
      burumburumbyecallcarchihcrazycrycup_fullcvetokdadadance
      deathdevildraznilkadrinkdrunkdruzhbaedaelkafingalfoofootball
      fuckgirlkisshammerhearthelphughuhhypnosiskillkissletsrock
      lollooklovemmmmmoneymoroznevizhuniniomgparikphone
      podarokpodmigpodzatylnikpokapomadapopapreyprivetprostitequestionrofl
      roseshedevrshocksilaskuchnosleepysmehsmilesmokesmutilisnegurka
      spasibostenastopsuicidetitstorttostuhmylkaumnikunsmileura
      vkaskewakeupwhosthatyazykzlozomboboxah1n1aaaeeeareyoukiddingmecerealguycerealguy2
      challengederpderpcryderpgopderphappyderphappycryderplolderpneutralderprichderpsadderpstare
      derpthumbderpwhydisappointfapforeveraloneforeveralonehappyfuckthatbitchgaspiliedjackielikeaboss
      megustamegustamuchomercurywinnotbadnumbohgodokaypokerfaceragemegaragetextstare
      sweetjesusfacethefuckthefuckgirltrolltrolldadtrollgirltruestoryyuno