2021-0245: Cisco IOS XR, Cisco NX-OS: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2021-02-04 15:04)

Neues Advisory

Version 2 (2021-02-08 09:51)

Cisco weist darauf hin, dass die Fixes für CVE-2021-1288 und CVE-2021-1313 in Cisco IOS XR 5.2.6 und 5.3.4 integriert wurden.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer kann eine weitere Schwachstelle im benachbarten Netzwerk ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren und beliebigen Programmcode auszuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Cisco informiert über die Schwachstellen und veröffentlicht Cisco IOS XR in den Versionen 5.2.47, 5.3.4, 6.0.2, 6.6.3, 6.6.4, 6.7.1, 6.7.2, 6.7.3, 7.0.2, 7.0.12, 7.0.14, 7.1.1, 7.1.2, 7.1.3, 7.2.1, 7.2.2 und 7.3.1 für die jeweilige Hardware, um die Schwachstellen zu beheben. Für die Cisco NX-OS Software hat das Cisco Product Security Incident Response Team (PSIRT) ein Tool veröffentlicht, womit geprüft werden kann, ob das jeweilige Produkt mit der jeweiligen Softwareversion für die Schwachstelle CVE-2021-1389 verwundbar ist, und das entsprechende Softwareupdate gefunden werden kann. Nach der Installation muss die Regel 'extension-header deny-all' manuell in die Zugriffskontrolliste (Access Control List, ACL) eingetragen werden.

Schwachstellen:

CVE-2021-1128

Schwachstelle in Cisco IOS XR ermöglicht Ausspähen von Informationen

CVE-2021-1136

Schwachstelle in Cisco IOS XR ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-1243

Schwachstelle in Cisco IOS XR ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-1244

Schwachstelle in Cisco IOS XR ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-1268

Schwachstelle in Cisco IOS XR ermöglicht Denial-of-Service-Angriff

CVE-2021-1288

Schwachstelle in Cisco IOS XR ermöglicht Denial-of-Service-Angriff

CVE-2021-1313

Schwachstelle in Cisco IOS XR ermöglicht Denial-of-Service-Angriff

CVE-2021-1370

Schwachstelle in Cisco IOS XR ermöglicht Privilegieneskalation

CVE-2021-1389

Schwachstelle in Cisco IOS XR und Cisco NX-OS ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.