Cisco устраняет уязвимости
Компания Cisco сообщила об устранении нескольких уязвимостей критической и высокой степени опасности и выпустила бесплатные обновления ПО.
В частности, ликвидирована потенциальная возможность обхода авторизации, получившая обозначение CVE-2021-1388, которая была выявлена в Cisco Application Centric Infrastructure (ACI) Multi-Site Orchestrator (MSO). Это решение помогает администраторам отслеживать состояние взаимосвязанных сайтов в нескольких ЦОДах. Воспользовавшись этой уязвимостью, злоумышленники могли получить маркер аутентификации с привилегиями уровня администратора для авторизации в API MSO и в Cisco Application Policy Infrastructure Controller (APIC). Эта критическая уязвимость, получившая оценку 10 из 10, была выявлена только на версии Cisco ACI MSO 3.0 и только при развертывании на унифицированной платформе хостинга приложений Cisco Application Services Engine. Хотя группа реагирования на инциденты, связанные с безопасностью продуктов Cisco, сообщила, что ей ничего не известно о попытках злонамеренного использования ошибки CVE-2021-1388, всем клиентам рекомендовано немедленно обновить ПО до версии Cisco ACI MSO 3.0 (3m), которая устраняет критическую уязвимость.
Кроме того, разработчики устранили уязвимости и в Cisco Application Services Engine (ASE), которые позволяли «атакующему, не прошедшему аутентификацию, получить привилегированный доступ к операциям на уровне хоста».
Также обнаружена и исправлена уязвимость в NX-OS – сетевой операционной системе Cisco для коммутаторов Nexus. Потенциальные проблемы могли возникнуть при использовании коммутаторов Cisco Nexus серии 3000 и Cisco Nexus серии 9000 (в автономном режиме NX-OS).
Полный перечень устраненных уязвимостей доступен на странице Cisco Security Advisory.