2021-1982: Cisco IOS, Cisco IOS XE, Cisco FXOS, Cisco IOS XR, Cisco NX-OS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Administratorrechten

Historie:

Version 1 (2021-09-23 16:20)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode zum Teil mit 'root'- oder Administrator-Rechten auszuführen, Dateien zu manipulieren, Sicherheitsvorkehrungen zu umgehen und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen im benachbarten Netzwerk ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Privilegien zu eskalieren, beliebigen Programmcode auszuführen, Dateien zu manipulieren und beliebigen Programmcode mit den Rechten des Administrators auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Die Schwachstellen CVE-2021-34770, CVE-2021-34727 und CVE-2021-1619 ermöglichen einem Angreifer aus der Ferne durch das Senden speziell präparierter Pakete oder Anfragen die Ausführung beliebigen Programmcodes mit 'root'- oder Administrator-Rechten auf dem System, wodurch das System von einem solchen Angreifer übernommen werden kann. Der Hersteller bewertet die Schwachstellen als kritisch.

Cisco veröffentlicht die halbjährliche Cisco Event Response ERP-74581 für Cisco IOS und IOS XE und führt insgesamt 27 Schwachstellen auf. Sicherheitsupdates für Cisco IOS, Cisco IOS XE und Cisco NX-OS können mit Hilfe des 'Cisco IOS Software Checker' (siehe Referenzen) identifiziert werden, wenn diese nicht im Abschnitt 'Fixed Software' der einzelnen Sicherheitshinweise des Herstellers direkt genannt werden. Cisco veröffentlicht die Cisco FXOS Versionen 2.2.2.1481, 2.3.1.2161, 2.4.1.2731, 2.6.1.2241, 2.7.1.1431, 2.8.1.143 1 und 2.9.1.135 sowie die Cisco IOS XR Versionen 6.7.4, 6.8.1, 7.2.2, 7.3.1, 7.3.15, 7.4.1 zur Behebung der Schwachstelle CVE-2021-34714.

Schwachstellen:

CVE-2021-1565 CVE-2021-34768 CVE-2021-34769

Schwachstellen in Cisco IOS XE ermöglichen Denial-of-Service-Angriff

CVE-2021-1611

Schwachstelle in Cisco IOS XE ermöglicht Denial-of-Service-Angriff

CVE-2021-1612

Schwachstelle in Cisco IOS XE ermöglicht Manipulation von Dateien

CVE-2021-1615

Schwachstelle in Cisco Embedded Wireless Controller (EWC) Software ermöglicht Denial-of-Service-Angriff

CVE-2021-1616

Schwachstelle in Cisco IOS XE ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-1619

Schwachstelle in Cisco IOS XE ermöglicht u. a. Manipulation von Dateien

CVE-2021-1620

Schwachstelle in Cisco IOS und Cisco IOS XE ermöglicht Denial-of-Service-Angriff

CVE-2021-1621

Schwachstelle in Cisco IOS XE ermöglicht Denial-of-Service-Angriff

CVE-2021-1622

Schwachstelle in Cisco IOS XE ermöglicht Denial-of-Service-Angriff

CVE-2021-1623

Schwachstelle in Cisco IOS XE ermöglicht Denial-of-Service-Angriff

CVE-2021-1624

Schwachstelle in Cisco IOS XE ermöglicht Denial-of-Service-Angriff

CVE-2021-1625

Schwachstelle in Cisco IOS XE ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-34696

Schwachstelle in Cisco IOS XE ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-34697

Schwachstelle in Cisco IOS XE ermöglicht Denial-of-Service-Angriff

CVE-2021-34699

Schwachstelle in Cisco IOS und Cisco IOS XE ermöglicht Denial-of-Service-Angriff

CVE-2021-34703

Schwachstelle in Cisco IOS und Cisco IOS XE ermöglicht Denial-of-Service-Angriff

CVE-2021-34705

Schwachstelle in Cisco IOS und Cisco IOS XE ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-34714

Schwachstelle in Cisco FXOS, Cisco IOS, Cisco IOS XE, Cisco IOS XR, Cisco NX-OS ermöglicht Denial-of-Service-Angriff

CVE-2021-34723

Schwachstelle in Cisco IOS XE ermöglicht Privilegieneskalation

CVE-2021-34724

Schwachstelle in Cisco IOS XE ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-34725

Schwachstelle in Cisco IOS XE ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-34727

Schwachstelle in Cisco IOS XE ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-34729

Schwachstelle in Cisco IOS XE ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-34767

Schwachstelle in Cisco IOS XE ermöglicht Denial-of-Service-Angriff

CVE-2021-34770

Schwachstelle in Cisco IOS XE ermöglicht u. a. Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.