Ciscon tuotteissa useita haavoittuvuuksia

Cisco on julkaissut päivityksiä useille tuotteilleen, jotka korjaavat Ciscon käyttämän luokittelun mukaan korkean prioriteetin (high) ja kriittisiä (critical) päivityksiä. Haavoittuvuuksien avulla voi olla mahdollista muun muassa suorittaa hyökkääjän ohjelmakoodia kohdejärjestelmässä ilman kirjautumista, sekä aiheuttaa palvelunestotila.

Kriittinen päivitys koskee Cisco Web Security Appliance ohjelmistoa, missä tunnistautunut käyttäjä pystyy haavoittuvuuden kautta ajamaan ohjelmakoodia kohdejärjestelmässä pääkäyttäjän oikeuksin.

Korkean prioriteetin haavoittuvuudet koskevat Ciscon Email Security Appliance, Web Security Appliance, Mobility Services Engine, AsyncOS sekä OpenSSL ohjelmistoja tai toteutuksia. Haavoittuvuudet voivat mahdollistaa muun muassa suojauksien ohittamisen tai palvelunestotilan aiheuttamisen.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Verkon aktiivilaitteet
Lisätietoa +

Hyökkäystapa

  • Paikallisesti
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
  • Palvelunestohyökkäys
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Cisco Email Security Appliance (ESA)

Cisco Web Security Appliance (WSA)

Cisco Mobility Services Engine (MSE)

Cisco AsyncOS

Useat tuotteet joissa hyödynnetään OpenSSL-kirjastoa

Tarkista haavoittuvat ohjelmistoversiot Ciscon tiedoitteista

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä Cisco ESA, WSA ja MSE ohjelmistot uusimpiin versioihin valmistajan ohjeiden mukaisesti.

Lisätietoa:


Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248