[Warning] Sicherheitslücken (teils kritisch) in Cisco FXOS und NX-OS Software - Patches verfügbar

Robert Waldner waldner at cert.at
Thu Jun 21 14:31:45 CEST 2018 

21. Juni 2018

Beschreibung

   Cisco hat mehrere Security Advisories zu teils kritischen
   Sicherheitslücken in Cisco FXOS und Cisco NX-OS Software
   veröffentlicht.

   Fünf der Schwachstellen werden mit einem CVSS Base Score von 9.8 als
   kritisch eingestuft:
     * Cisco NX-OS Software NX-API Arbitrary Code Execution
       Vulnerability (CVE-2018-0301)
     * Cisco FXOS and NX-OS Software Cisco Fabric Services Arbitrary
       Code Execution Vulnerability (CVE-2018-0308)
     * Cisco FXOS and NX-OS Software Cisco Fabric Services Arbitrary
       Code Execution Vulnerability (CVE-2018-0304)
     * Cisco FXOS and NX-OS Software Cisco Fabric Services Arbitrary
       Code Execution Vulnerability (CVE-2018-0314)
     * Cisco FXOS and NX-OS Software Cisco Fabric Services Arbitrary
       Code Execution Vulnerability (CVE-2018-0312)

Auswirkungen

   Unter anderem Denial of Service und Remote Code Execution (RCE). Da
   durch Ausnutzen der RCE-Lücken beliebiger Code auf betroffenen
   Systemen ausgeführt werden kann, sind alle Daten auf diesen Systemen,
   sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.)
   Daten und weiteren Systeme gefährdet.

Betroffene Systeme

   Alle Cisco-Geräte, auf denen FXOS oder NX-OS Software in Releases von
   vor dem 20. Juni läuft, sind mit einer gewissen Wahrscheinlichkeit
   anfällig - Details bitte den Advisories von Cisco zu entnehmen.

Abhilfe

     * Bezüglich CVE-2018-0301 / NX-API kann deaktivieren der NX-API
       Funktionalität als temporärer Workaround genutzt werden.
     * Für die anderen Probleme: Einspielen der von Cisco zur Verfügung
       gestellten Patches.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   June 2018 Cisco FXOS and NX-OS Software Security Advisory Collection
   (englisch)
   https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-67770
   Meldung auf Heise Security
   https://heise.de/-4088573


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20180621/9f197243/attachment-0001.sig>

More information about the Warning mailing list