vahid5835
31st October 2013, 11:45 AM
برطرف شدن رخنههای امنیتی بحرانی در محصولات سیسکو
http://www.iritn.com/archive/uploads/2013/09/%D8%B3%DB%8C%D8%B3%DA%A9%D9%88.jpg
شرکت سیسکو به منظور برطرف نمودن چندین آسیب پذیری اجرای دستور دلخواه و انکار سرویس در محصولات خود، چندین به روز رسانی امنیتی منتشر کرده است.
به نقل از فن آوری اطلاعات ایران، روز چهارشنبه شرکت سیسکو برای برخی از محصولات خود به روز رسانی امنیتی منتشر نمود تا چندین آسیب پذیری اجرای دستور دلخواه و انکار سرویس را در این محصولات برطرف نماید.
این شرکت نسخه جدید نرم افزار Cisco IOS XR را منتشر کرده است تا مسألهای در رابطه با مدیریت بستههای قطعه قطعه شده را برطرف نماید. این مسأله میتواند برای حملات انکار سرویس بر روی کارتهای Cisco CRS Route Processor مورد سوء استفاده قرار بگیرد. انواع کارتهای آسیب پذیر و نسخههای اصلاح شده نرمافزار در راهنمایی امنیتی سیسکو در دسترس میباشد.
هم چنین شرکت سیسکو اصلاحیههای امنیتی برای Cisco Identity Services Engine منتشر کرده است. ISE یک پلت فرم مدیریت خط مشی برای ارتباطات سیمی و بی سیم و VPN میباشد. این اصلاحیه، آسیب پذیری را برطرف مینماید که میتواند توسط مهاجمان راه دور احراز هویت شده برای اجرای دستورات دلخواه بر روی سیستم عامل مورد سوء استفاده قرار بگیرد، هم چنین آسیبپذیری دیگری را برطرف مینماید که میتواند به مهاجم اجازه دهد تا سیستم احراز هویت را دور زند و پیکربندی محصولات یا سایر اطلاعات حساس مانند اعتبارنامههای مدیریتی را دانلود نماید.
این شرکت اصلاحیههایی برای برطرف نمودن آسیب پذیری موجود در Apache Struts را منتشر کرده است. Apache Struts یک چارچوب کاری منبع باز است که برای برنامههای کاربردی وب مبتنی بر جاوا به کار برده میشود.
شرکت سیسکو در راهنمایی امنیتی خود آورده است که تاثیر این آسیب پذیری بر محصولات سیسکو به محصول آسیب پذیری وابسته است. سوء استفاده موفقیت آمیز بر روی Cisco ISE، Cisco Unified SIP Proxy و Cisco Business Edition 3000 می تواند باعث اجرای دستورات دلخواه بر روی سیستم آلوده شود.
این شرکت اضافه کرد که برای اجرای حملات بر روی Cisco ISE و Cisco Unified SIP Proxy نیاز به احراز هویت نمیباشد اما سوء استفاده موفقیت آمیز از این آسیب پذیری بر روی Cisco Business Edition 3000 مستلزم آن است که مهاجم اعتبارنامههای معتبر داشته باشد یا کاربر را با اعتبارنامههای معتبر فریب دهد تا یک آدرس URL مخرب را اجرا نماید.
در راهنمایی امنیتی این شرکت آمده است که سوء استفاده موفقیت آمیز از آسیب پذیری بر روی Cisco MXE 3500 Series میتواند به مهاجم اجازه دهد تا کاربر را به سمت وب سایت مخرب هدایت نماید. با این حال اجرای دستور دلخواه بر روی این محصول امکان پذیر نیست.
http://www.iritn.com/archive/uploads/2013/09/%D8%B3%DB%8C%D8%B3%DA%A9%D9%88.jpg
شرکت سیسکو به منظور برطرف نمودن چندین آسیب پذیری اجرای دستور دلخواه و انکار سرویس در محصولات خود، چندین به روز رسانی امنیتی منتشر کرده است.
به نقل از فن آوری اطلاعات ایران، روز چهارشنبه شرکت سیسکو برای برخی از محصولات خود به روز رسانی امنیتی منتشر نمود تا چندین آسیب پذیری اجرای دستور دلخواه و انکار سرویس را در این محصولات برطرف نماید.
این شرکت نسخه جدید نرم افزار Cisco IOS XR را منتشر کرده است تا مسألهای در رابطه با مدیریت بستههای قطعه قطعه شده را برطرف نماید. این مسأله میتواند برای حملات انکار سرویس بر روی کارتهای Cisco CRS Route Processor مورد سوء استفاده قرار بگیرد. انواع کارتهای آسیب پذیر و نسخههای اصلاح شده نرمافزار در راهنمایی امنیتی سیسکو در دسترس میباشد.
هم چنین شرکت سیسکو اصلاحیههای امنیتی برای Cisco Identity Services Engine منتشر کرده است. ISE یک پلت فرم مدیریت خط مشی برای ارتباطات سیمی و بی سیم و VPN میباشد. این اصلاحیه، آسیب پذیری را برطرف مینماید که میتواند توسط مهاجمان راه دور احراز هویت شده برای اجرای دستورات دلخواه بر روی سیستم عامل مورد سوء استفاده قرار بگیرد، هم چنین آسیبپذیری دیگری را برطرف مینماید که میتواند به مهاجم اجازه دهد تا سیستم احراز هویت را دور زند و پیکربندی محصولات یا سایر اطلاعات حساس مانند اعتبارنامههای مدیریتی را دانلود نماید.
این شرکت اصلاحیههایی برای برطرف نمودن آسیب پذیری موجود در Apache Struts را منتشر کرده است. Apache Struts یک چارچوب کاری منبع باز است که برای برنامههای کاربردی وب مبتنی بر جاوا به کار برده میشود.
شرکت سیسکو در راهنمایی امنیتی خود آورده است که تاثیر این آسیب پذیری بر محصولات سیسکو به محصول آسیب پذیری وابسته است. سوء استفاده موفقیت آمیز بر روی Cisco ISE، Cisco Unified SIP Proxy و Cisco Business Edition 3000 می تواند باعث اجرای دستورات دلخواه بر روی سیستم آلوده شود.
این شرکت اضافه کرد که برای اجرای حملات بر روی Cisco ISE و Cisco Unified SIP Proxy نیاز به احراز هویت نمیباشد اما سوء استفاده موفقیت آمیز از این آسیب پذیری بر روی Cisco Business Edition 3000 مستلزم آن است که مهاجم اعتبارنامههای معتبر داشته باشد یا کاربر را با اعتبارنامههای معتبر فریب دهد تا یک آدرس URL مخرب را اجرا نماید.
در راهنمایی امنیتی این شرکت آمده است که سوء استفاده موفقیت آمیز از آسیب پذیری بر روی Cisco MXE 3500 Series میتواند به مهاجم اجازه دهد تا کاربر را به سمت وب سایت مخرب هدایت نماید. با این حال اجرای دستور دلخواه بر روی این محصول امکان پذیر نیست.