2023-2314: Cisco IOS, IOS XE: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-09-28 14:29): Neues Advisory
Version 2 (2023-10-11 08:51): Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2023-20109 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese bereits aktiv ausgenutzt wird.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Cisco veröffentlicht die halbjährliche Cisco Event Response ERP-74916 für Cisco IOS und IOS XE und führt insgesamt 8 Schwachstellen auf. Sicherheitsupdates für Cisco IOS und Cisco IOS XE können mit Hilfe des 'Cisco IOS Software Checker' (siehe Referenzen) identifiziert werden, wenn diese nicht im Abschnitt 'Fixed Software' der einzelnen Sicherheitshinweise des Herstellers direkt genannt werden. Zudem stehen für die Schwachstellen CVE-2023-20186 und CVE-2023-20187 Workarounds bereits, welche im Abschnitt 'Workarounds' in den jeweiligen Sicherheitshinweisen zu finden sind.