سیسکو وصلههایی را برای رفع سه نقص امنیتی مؤثر بر محصولاتش منتشر کرد، از جمله ضعف شدیدی که در اواخر ماه گذشته در NVIDIA Data Plane Development Kit (MLNX_DPDK) فاش شد.
این آسیبپذیری که با عنوان CVE-2022-28199 ردیابی میشود (امتیاز CVSS: 8.6)، ناشی از عدم مدیریت صحیح خطا در پشته شبکه DPDK است که به یک مهاجم ریموت امکان میدهد تا شرایط انکار سرویس (DoS) را فراهم کند و بر حفظ و محرمانگی دادهها نیز تأثیر بگذارد.
سیسکو در اطلاعیهای که در 7 سپتامبر منتشر شد، گفت: اگر یک شرایط error در رابط دستگاه مشاهده شود، دستگاه ممکن است reload شود یا ترافیک دریافت نکند و در نتیجه وضعیت انکار سرویس (DoS) ایجاد شود.
سیسکو اعلام کرد که خط تولید محصولات خود را بررسی کرده و تشخیص داده است که سرویسهای زیر تحتتأثیر این باگ قرار میگیرند:
این شرکت دلیل این نقص را که با شناسه CVE-2022-20696 (امتیاز CVSS: 7.5) شناخته میشود، عدم وجود مکانیسمهای حفاظتی کافی در پورتهای کانتینر سرور پیامرسان میداند. سیسکو شرکت Orange Business را برای گزارش این آسیبپذیری اعتبار بخشید.
سیسکو گفت: بهرهبرداری موفقیتآمیز از این نقص میتواند به مهاجم اجازه دهد پیامها را مشاهده و به سرویس پیامرسانی تزریق کند، که میتواند باعث تغییرات در پیکربندی یا reload سیستم شود.
سومین نقصی که توسط سیسکو برطرف شد، یک آسیبپذیری در رابط پیامرسانی Cisco Webex (CVE-2022-20863، امتیاز CVSS: 4.3) است که میتواند یک مهاجم احراز هویت نشده و ریموت را قادر به اصلاح لینکها یا سایر محتواها و انجام حملات فیشینگ کند.
این آسیبپذیری که با عنوان CVE-2022-28199 ردیابی میشود (امتیاز CVSS: 8.6)، ناشی از عدم مدیریت صحیح خطا در پشته شبکه DPDK است که به یک مهاجم ریموت امکان میدهد تا شرایط انکار سرویس (DoS) را فراهم کند و بر حفظ و محرمانگی دادهها نیز تأثیر بگذارد.
سیسکو در اطلاعیهای که در 7 سپتامبر منتشر شد، گفت: اگر یک شرایط error در رابط دستگاه مشاهده شود، دستگاه ممکن است reload شود یا ترافیک دریافت نکند و در نتیجه وضعیت انکار سرویس (DoS) ایجاد شود.
سیسکو اعلام کرد که خط تولید محصولات خود را بررسی کرده و تشخیص داده است که سرویسهای زیر تحتتأثیر این باگ قرار میگیرند:
- Cisco Catalyst 8000V Edge Software
- Adaptive Security Virtual Appliance (ASAv), and
- Secure Firewall Threat Defense Virtual (formerly FTDv)
این شرکت دلیل این نقص را که با شناسه CVE-2022-20696 (امتیاز CVSS: 7.5) شناخته میشود، عدم وجود مکانیسمهای حفاظتی کافی در پورتهای کانتینر سرور پیامرسان میداند. سیسکو شرکت Orange Business را برای گزارش این آسیبپذیری اعتبار بخشید.
سیسکو گفت: بهرهبرداری موفقیتآمیز از این نقص میتواند به مهاجم اجازه دهد پیامها را مشاهده و به سرویس پیامرسانی تزریق کند، که میتواند باعث تغییرات در پیکربندی یا reload سیستم شود.
سومین نقصی که توسط سیسکو برطرف شد، یک آسیبپذیری در رابط پیامرسانی Cisco Webex (CVE-2022-20863، امتیاز CVSS: 4.3) است که میتواند یک مهاجم احراز هویت نشده و ریموت را قادر به اصلاح لینکها یا سایر محتواها و انجام حملات فیشینگ کند.