Cisco Security Updates Squash Router Bugs

Cisco har udgivet otte sikkerhedsopdateringer til IOS-softwaren (Internet Operating Operating System) bruges til at drive sine routere.

Patcherne blev udgivet onsdag, dagen Cisco havde tidligere planlagt sine toårige IOS-opdateringer. Ingen af ​​fejlene var blevet offentliggjort forud for onsdagens opdateringer, men nogle af dem blev rapporteret til Cisco af eksterne kilder.

De fleste af fejlene kunne udnyttes af angribere til at kollidere eller på en eller anden måde forstyrre service til en router, typisk hvis en specifikke, sårbare service er aktiveret, siger Cisco.

[Yderligere læsning: Bedste NAS-kasser til streaming og backup af medier]

Cisco har f.eks. rettet to fejl i sit SSLVPN-software (Secure Sockets Layer Virtual Private Network) kunne bruges til at nedbryde enheden. Attackere kunne udnytte en af ​​disse fejl ved at sende en specielt udformet HTTPS-pakke til routeren. Fejlen påvirker ikke brugere af virksomhedens ASA 5500-apparat eller Cisco IOS XR eller XE-software.

SSLVPN gør det muligt for brugere uden for virksomhedens firewall at få adgang til deres virksomheds netværk ved hjælp af en webbrowser i stedet for at installere særlig VPN-software på deres pc.

En anden alvorlig fejl berører dem, der har aktiveret Secure Copy Protocol (SCP), der bruges til at tillade filoverførsler via netværket. På grund af denne fejl kan en autentificeret bruger på enheden "overføre filer til og fra en Cisco IOS-enhed, der er konfigureret til at være en SCP-server, uanset hvilke brugere der har tilladelse til at gøre", sagde Cisco i sin rådgivning. Dette kunne gøre det muligt for en bruger at rive med routerens konfigurationsfiler eller snige et kig på passwords, siger Cisco. Denne fejl blev rapporteret til Cisco af Kevin Graham, siger firmaet.

Flere detaljer om opdateringerne findes her.

Cisco's næste sæt IOS-patches skyldes 23. september.