Update: Sicherheitslücken (teils kritisch) in Cisco IOS, Cisco IOS XE und Cisco IOS XR Software - Detaillierte Sicherheitshinweise für das Cisco IOS und IOS XE Smart Install Feature verfügbar

29. März 2018
Update: 10. April 2018

Beschreibung

Cisco hat 20 Security Advisories zu teils kritischen Sicherheitslücken in Cisco IOS, Cisco IOS XE und Cisco IOS XR Software veröffentlicht.

Drei der Schwachstellen werden mit einem CVSS Base Score von 9.8 als kritisch eingestuft:

Update: 10. April 2018

Cisco hat ein Security Advisory mit Informationen zu CVE-2018-0171 und weiteren - teils schon älteren - Sicherheitslücken im Smart Install Feature von Cisco IOS und Cisco IOS XE veröffentlicht. Cisco empfiehlt die Umsetzung der im Advisory angeführten Maßnahmen zur Absicherung betroffener Systeme.

Auswirkungen

Unter anderem Denial of Service und Remote Code Execution (RCE). Da durch Ausnutzen der RCE-Lücken beliebiger Code auf betroffenen Systemen ausgeführt werden kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und weiteren Systeme gefährdet.

Betroffene Systeme

Die Anfälligkeit spezifischer Releases der Cisco IOS und Cisco IOS XE Software für die Schwachstellen kann mit dem Cisco IOS Software Checker festgestellt werden.

Abhilfe

Einspielen der Patches.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Cisco Software Security Advisory Bundled Publication (englisch)
https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-66682
Meldung auf Heise Security
https://heise.de/-4008364
Cisco Security Advisory für Cisco IOS und IOS XE Smart Install (englisch)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180409-smi