Cisco, portföyündeki birçok üründe güvenlik açıkları belirlemiş ve bunları gidermek için güncellemeler sağlamıştır. Şirket ayrıca, ayrıcalıkları desteklenmeyen kimlik doğrulama yöntemleriyle sisteme yükseltmek için istismar edilebilecek SSH kimlik doğrulamasındaki olası bir güvenlik açığıyla ilgili bir güvenlik danışma belgesi yayınladı.
Cisco: iki yüksek riskli güvenlik açığını yamalayın
Cisco Uygulama İlkesi Altyapı Denetleyicisi’nde (APIC) ve Bulut Ağ Denetleyicisi’nde siteler arası istek sahteciliği güvenlik açığı bulunmaktadır. Ağdan kayıtsız saldırganlar, web tabanlı yönetim arayüzünde kullanıcılar bağlamında herhangi bir eylem gerçekleştirmiş olabilir. Bunu yapmak için kurbanların yalnızca hazırlanmış bir bağlantıya tıklaması yeterli olacaktır (CVE-2023-20011, CVSS 8.8risk”yüksek“).
Cisco’nun Nexus 9000 yapı anahtarları, Bağlantı Katmanı Keşif Protokolü’nde (LLDP) de bir güvenlik açığına sahiptir. Ağ saldırganları, önceden kayıt olmaksızın bir hizmet reddi saldırısı için manipüle edilmiş LLDP paketlerini kullanabilir. Bu tür paketler bellek sızıntısına neden olarak cihazların beklenmedik bir şekilde yeniden başlamasına neden olabilir (CVE-2023-20089, CVSS 7.4, yüksek).
Cisco, etkilenen belirli sürümleri, bunlar için mevcut güncellemeleri ve gerekirse ilgili güvenlik bildirimlerinde geçici karşı önlemleri açıklar. Azalan risk düzeyine göre sıralandı:
BT yöneticileri, potansiyel saldırı yüzeyini en aza indirmek için güncellemeleri hemen indirmeli ve kurmalıdır.
Cisco, geçen hafta güvenlik güncellemeleri içeren birkaç ürün göndermişti. Diğer şeylerin yanı sıra, ClamAV antivirüs yazılımında kritik olarak sınıflandırılan bir güvenlik açığı, düzeltilen hatalardan biriydi.
(dmk)
Haberin Sonu
Cisco: iki yüksek riskli güvenlik açığını yamalayın
Cisco Uygulama İlkesi Altyapı Denetleyicisi’nde (APIC) ve Bulut Ağ Denetleyicisi’nde siteler arası istek sahteciliği güvenlik açığı bulunmaktadır. Ağdan kayıtsız saldırganlar, web tabanlı yönetim arayüzünde kullanıcılar bağlamında herhangi bir eylem gerçekleştirmiş olabilir. Bunu yapmak için kurbanların yalnızca hazırlanmış bir bağlantıya tıklaması yeterli olacaktır (CVE-2023-20011, CVSS 8.8risk”yüksek“).
Cisco’nun Nexus 9000 yapı anahtarları, Bağlantı Katmanı Keşif Protokolü’nde (LLDP) de bir güvenlik açığına sahiptir. Ağ saldırganları, önceden kayıt olmaksızın bir hizmet reddi saldırısı için manipüle edilmiş LLDP paketlerini kullanabilir. Bu tür paketler bellek sızıntısına neden olarak cihazların beklenmedik bir şekilde yeniden başlamasına neden olabilir (CVE-2023-20089, CVSS 7.4, yüksek).
Cisco, etkilenen belirli sürümleri, bunlar için mevcut güncellemeleri ve gerekirse ilgili güvenlik bildirimlerinde geçici karşı önlemleri açıklar. Azalan risk düzeyine göre sıralandı:
BT yöneticileri, potansiyel saldırı yüzeyini en aza indirmek için güncellemeleri hemen indirmeli ve kurmalıdır.
Cisco, geçen hafta güvenlik güncellemeleri içeren birkaç ürün göndermişti. Diğer şeylerin yanı sıra, ClamAV antivirüs yazılımında kritik olarak sınıflandırılan bir güvenlik açığı, düzeltilen hatalardan biriydi.
(dmk)
Haberin Sonu