Cisco Bugs CVE-2018-0151, CVE-2018-171, CVE-2018-015. Patch maintenant!
CYBER NOUVELLES

Cisco Bugs CVE-2018-0151, CVE-2018-171, CVE-2018-015. Patch maintenant!

Trois vulnérabilités critiques ont trouvé dans les produits Cisco. Plus précisement, IOS et IOS XE Cisco contiennent deux défauts – CVE-2018-0151 et CVE-2018-171. Le troisième défaut ne concerne que logiciel Cisco IOS XE. Si elle est exploitée, il pourrait permettre à un non authentifié, attaquant distant de se connecter à un dispositif en cours d'exécution une version affectée de Cisco IOS XE logiciel avec le nom d'utilisateur et mot de passe par défaut utilisé lors du démarrage initial.

histoire connexes: CVE-2018-0141 Cisco vulnérabilité pourrait conduire à un contrôle total système

1. CVE-2018-0151

Voici la description officielle:

Une vulnérabilité dans la qualité du service (QoS) sous-système du logiciel Cisco IOS et logiciel Cisco IOS XE pourrait permettre à un non authentifié, attaquant distant de provoquer un déni de service (DoS) conditionner ou exécuter du code arbitraire avec des privilèges élevés.

La vulnérabilité provient de limites vérification incorrecte de certaines valeurs dans des paquets pour le port UDP 18999 d'un appareil affecté. Un attaquant pourrait exploiter ce bug en envoyant des paquets malveillants à un périphérique affecté. Lorsque les paquets sont traités, une condition exploitable de dépassement de mémoire tampon peut avoir lieu.

Si elle est exploitée avec succès, un attaquant pourrait exécuter du code arbitraire sur le périphérique ciblé avec des privilèges élevés. En plus de cela, l'attaquant pourrait également exploiter le bug pour amener le dispositif à recharger, conduisant à une condition de déni temporaire du moment où le dispositif effectue le chargement.

La vulnérabilité doit être patché le plus tôt possible, et Cisco a préparé des mises à jour logicielles. Cependant, une solution de contournement est possible avec CVE-2018-0151 – le blocage du trafic vers UDP 18999, les chercheurs disent.

2. CVE-2018-171

Description officielle:

Une vulnérabilité dans la fonctionnalité Smart Install du logiciel Cisco IOS et logiciel Cisco IOS XE pourrait permettre à un non authentifié, attaquant distant de déclencher un rechargement d'un périphérique affecté, entraînant un déni de service (DoS) condition, ou exécuter du code arbitraire sur un périphérique affecté.

Pour être plus précis, un attaquant exploitant ce défaut pourrait envoyer un message malveillant sur le port TCP 4786 sur un dispositif client et peut soit déclencher une attaque par déni de service ou de créer les conditions d'exécution de code à distance. Il n'y a pas des solutions de contournement qui traitent cette faille, Cisco a déclaré.

histoire connexes: Cisco ASA Patches Software contre CVE-2016-1385, CVE-2016-1379

3. CVE-2018-015

Selon l'avis de sécurité de Cisco:

Une vulnérabilité dans le logiciel Cisco IOS XE pourrait permettre à un non authentifié, attaquant distant de se connecter à un dispositif en cours d'exécution une version affectée de Cisco IOS XE logiciel avec le nom d'utilisateur par défaut et le mot de passe qui sont utilisés au démarrage initial.

La vulnérabilité est causée par un compte utilisateur sans papier avec le niveau de privilège 15 qui a un nom d'utilisateur par défaut et le mot de passe. Un attaquant pourrait exploiter cette vulnérabilité en utilisant ce compte pour se connecter à distance à un dispositif ciblé. Si elle est exploitée avec succès, l'attaquant peut se connecter à l'appareil avec le niveau de privilège 15 accès, Cisco a déclaré.

Milena Dimitrova

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum depuis le début. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...