برطرف شدن رخنه‌های امنيتی بحرانی در محصولات سيسكو

شماره: IRCNE2013101997
تاريخ:04/08/92

روز چهارشنبه شركت سيسكو براي برخي از محصولات خود به روز رساني امنيتي منتشر نمود تا چندين آسيب پذيري اجراي دستور دلخواه و انكار سرويس را در اين محصولات برطرف نمايد.
اين شركت نسخه جديد نرم افزار Cisco IOS XR را منتشر كرده است تا مساله اي در رابطه با مديريت بسته هاي قطعه قطعه شده را برطرف نمايد. اين مساله مي تواند براي حملات انكار سرويس بر روي كارت هاي Cisco CRS Route Processor مورد سوء استفاده قرار بگيرد. انواع كارت هاي آسيب پذير و نسخه هاي اصلاح شده نرم افزار در راهنمايي امنيتي سيسكو در دسترس مي باشد.
هم چنين شركت سيسكو اصلاحيه هاي امنيتي براي Cisco Identity Services Engine منتشر كرده است. ISE يك پلت فرم مديريت خط مشي براي ارتباطات سيميف بي سيم و VPN مي باشد. اين اصلاحيه، آسيب پذيري را برطرف مي نمايد كه مي تواند توسط مهاجمان راه دور احراز هويت شده براي اجراي دستورات دلخواه بر روي سيستم عامل مورد سوء استفاده قرار بگيرد، هم چنين آسيب پذيري ديگري را برطرف مي نمايد كه مي تواند به مهاجم اجازه دهد تا سيستم احراز هويت را دور زند و پيكربندي محصولات يا ساير اطلاعات حساس مانند اعتبارنامه هاي مديريتي را دانلود نمايد.
اين شركت اصلاحيه هايي براي برطرف نمودن آسيب پذيري موجود در Apache Struts را منتشر كرده است. Apache Struts يك چارچوب كاري منبع باز است كه براي برنامه هاي كاربردي وب مبتني بر جاوا به كار برده مي شود.
شركت سيسكو در راهنمايي امنيتي خود آورده است كه تاثير اين آسيب پذيري بر محصولات سيسكو به محصول آسيب پذيري وابسته است. سوء استفاده موفقيت آميز بر روي Cisco ISE، Cisco Unified SIP Proxy و Cisco Business Edition 3000 مي تواند باعث اجراي دستورات دلخواه بر روي سيستم آلوده شود.
اين شركت اضافه كرد كه براي اجراي حملات بر روي Cisco ISE و Cisco Unified SIP Proxy نياز به احراز هويت نمي باشد اما سوء استفاده موفقيت آميز از اين آسيب پذيري بر روي Cisco Business Edition 3000 مستلزم آن است كه مهاجم اعتبارنامه هاي معتبر داشته باشد يا كاربر را با اعتبارنامه هاي معتبر فريب دهد تا يك آدرس URL مخرب را اجرا نمايد.
در راهنمايي امنيتي اين شركت آمده است كه سوء استفاده موفقيت آميز از آسيب پذيري بر روي Cisco MXE 3500 Series مي تواند به مهاجم اجازه دهد تا كاربر را به سمت وب سايت مخرب هدايت نمايد.با اين حال اجراي دستور دلخواه بر روي اين محصول امكان پذير نيست.