[English]Cisco hat bereits zum 29. September 2020 kritische Sicherheitsupdates für sein Netzwerkbetriebssystem IOS XR freigegeben. Die Updates schließen zwei als kritisch eingestufte Sicherheitslücken in den Produkten. Es sollte also zeitnah gepatcht werden.
Anzeige
Die Informationen hat Cisco am 29. Sept. 2020 im Security-Bulletin Cisco IOS XR Software DVMRP Memory Exhaustion Vulnerabilities veröffentlicht. Im Sicherheitshinweis heißt es, dass die Schwachstellen CVE-2020-3566 und CVE-2020-3569 geschlossen wurden.
Mehrere Schwachstellen in der DVMRP-Funktion (Distance Vector Multicast Multicast Routing Protocol) der Cisco IOS XR-Software könnten es einem nicht authentifizierten, entfernten Angreifer ermöglichen, den IGMP-Prozess (Internet Group Management Protocol) entweder sofort zum Absturz zu bringen oder den verfügbaren Speicher zu verbrauchen und schließlich zum Absturz zu bringen. Der Speicherverbrauch kann sich negativ auf andere Prozesse auswirken, die auf dem Gerät ausgeführt werden.
Diese Schwachstellen sind auf die falsche Behandlung von IGMP-Paketen zurückzuführen. Ein Angreifer könnte diese Schwachstellen ausnutzen, indem er gestalteten IGMP-Verkehr an ein betroffenes Gerät sendet. Eine erfolgreiche Ausnutzung könnte es dem Angreifer ermöglichen, den IGMP-Prozess sofort zum Absturz zu bringen oder den Speicherverbrauch zu erschöpfen, wodurch andere Prozesse instabil werden könnten. Zu diesen Prozessen können unter anderem interne und externe Routing-Protokolle gehören.
Cisco hat Software-Updates veröffentlicht, die diese Schwachstellen beheben. Es gibt keine Workarounds, die diese Schwachstellen beheben. Details sind dem obigen Security-Bulletin zu entnehmen. (via)
Anzeige