​برطرف شدن رخنه‌های امنیتی بحرانی در محصولات سیسکو

[vahid5835]

​برطرف شدن رخنه‌های امنیتی بحرانی در محصولات سیسکو

شرکت سیسکو به منظور برطرف نمودن چندین آسیب‌ پذیری اجرای دستور دلخواه و انکار سرویس در محصولات خود، چندین به روز رسانی امنیتی منتشر کرده است.
به نقل از فن آوری اطلاعات ایران، روز چهارشنبه شرکت سیسکو برای برخی از محصولات خود به روز رسانی امنیتی منتشر نمود تا چندین آسیب‌ پذیری اجرای دستور دلخواه و انکار سرویس را در این محصولات برطرف نماید.

این شرکت نسخه جدید نرم افزار Cisco IOS XR را منتشر کرده است تا مسأله‌ای در رابطه با مدیریت بسته‌های قطعه قطعه شده را برطرف نماید. این مسأله می‌تواند برای حملات انکار سرویس بر روی کارت‌های Cisco CRS Route Processor مورد سوء استفاده قرار بگیرد. انواع کارت‌های آسیب‌ پذیر و نسخه‌های اصلاح شده نرم‌افزار در راهنمایی امنیتی سیسکو در دسترس می‌باشد.
هم چنین شرکت سیسکو اصلاحیه‌های امنیتی برای Cisco Identity Services Engine منتشر کرده است. ISE یک پلت فرم مدیریت خط مشی برای ارتباطات سیمی و بی سیم و VPN می‌باشد. این اصلاحیه، آسیب‌ پذیری را برطرف می‌نماید که می‌تواند توسط مهاجمان راه دور احراز هویت شده برای اجرای دستورات دلخواه بر روی سیستم عامل مورد سوء استفاده قرار بگیرد، هم چنین آسیب‌پذیری دیگری را برطرف می‌نماید که می‌تواند به مهاجم اجازه دهد تا سیستم احراز هویت را دور زند و پیکربندی محصولات یا سایر اطلاعات حساس مانند اعتبارنامه‌های مدیریتی را دانلود نماید.
این شرکت اصلاحیه‌هایی برای برطرف نمودن آسیب‌ پذیری موجود در Apache Struts را منتشر کرده است. Apache Struts یک چارچوب کاری منبع باز است که برای برنامه‌های کاربردی وب مبتنی بر جاوا به کار برده می‌شود.
شرکت سیسکو در راهنمایی امنیتی خود آورده است که تاثیر این آسیب‌ پذیری بر محصولات سیسکو به محصول آسیب‌ پذیری وابسته است. سوء استفاده موفقیت آمیز بر روی Cisco ISE، Cisco Unified SIP Proxy و Cisco Business Edition 3000 می تواند باعث اجرای دستورات دلخواه بر روی سیستم آلوده شود.
این شرکت اضافه کرد که برای اجرای حملات بر روی Cisco ISE و Cisco Unified SIP Proxy نیاز به احراز هویت نمی‌باشد اما سوء استفاده موفقیت آمیز از این آسیب‌ پذیری بر روی Cisco Business Edition 3000 مستلزم آن است که مهاجم اعتبارنامه‌های معتبر داشته باشد یا کاربر را با اعتبارنامه‌های معتبر فریب دهد تا یک آدرس URL مخرب را اجرا نماید.
در راهنمایی امنیتی این شرکت آمده است که سوء استفاده موفقیت آمیز از آسیب‌ پذیری بر روی Cisco MXE 3500 Series می‌تواند به مهاجم اجازه دهد تا کاربر را به سمت وب سایت مخرب هدایت نماید. با این حال اجرای دستور دلخواه بر روی این محصول امکان پذیر نیست.