✔Cisco патчит критические уязвимости в составе NX-OS и FXOS - «Новости»

Разработчики Cisco выпустили патчи, исправляющие более 30 уязвимостей в продукции компании, включая проблемы в FXOS для файрволов Firepower и в NX-OS для свитчей Nexus.

Наиболее опасными среди всех устраненных уязвимостей можно назвать пять проблем, позволявших выполнить на устройстве произвольный код: проблема функции NX-API в NX-OS (CVE-2018-0301), баги в компоненте Fabric Services в FXOS и NX-OS (CVE-2018-0308, CVE-2018-0304, CVE-2018-0314 и CVE-2018-0312). Все баги получили 9,8 балла из 10 возможных по шкале CVSS v3, и четыре из пяти проблем связаны с некорректной валидацией значений хедеров в пакетах Cisco Fabric Services.

Разработчики Cisco подчеркивают, что ни одна из проблем не затргивает IOS и IOS XE.

Данные бреши могут быть использованы неавторизованным, удаленным атакующим для переполнения буфера, исполнения произвольного кода (в ряде случаев с root-правами), провоцирования отказа в обслуживании (DoS) и даже чтения из памяти конфиденциальной информации.

Уязвимости представляют опасность для многих устройств, в том числе: для свитчей серий от Nexus 3000 до Nexus 9000, линейных карт и модулей Nexus 9500 R-Series, решений Firepower 4100 и Firepower 9300, центральных устройств от серии UCS 6100 до серии UCS 6300, а также многоуровневых коммутаторов MDS 9000.

Кроме того, в составе NX-OS и FXOS были исправлены 19 уязвимостей высокого уровня опасности, представляющие угрозу для коммутаторов серий Nexus 4000, Nexus 3000 и 9000, а также для защитных решений Firepower 4100 и Firepower 9300.

Так как способов снижения рисков и «обхода» проблем без установки патчей, не существует, разработчики Cisco настоятельно рекомендуют пользователям обновиться как можно скорее.