Lücken machen Ciscos IOS und Crypto Library zu schaffen

In der Lücke, die laut Cisco etwas kritischer ist, wird die IOS-Software durch nicht fehlerfreie SSL-Pakete gestört. Das IOS-Device kann laut dem Hersteller sogar abstürzen sobald es versucht, deformierte  SSL-Pakete (Secure Socket Layer) zu verarbeiten.

Das Advisory beschreibt, dass ein bösartiger Client die verwundbaren Devices gezielt ansteuern und mit fehlerhaften SSL-Paketen beschicken muss. Hier kann es bei wiederholten Angriffen zu einem Denial of Service kommen. Laut dem Hersteller werden folgende Lücken dabei ausgenutzt: Die Verarbeitung von ClientHello Messages, ChangeCipherSpec Messages und Finished Messages. Sie alle sind bereits registriert und für Cisco-Kunden in einer Datenbank beschrieben.

Eine andere – laut Cisco hiermit in Zusammenhang stehende – Lücke betrifft die Crypto Library eines Drittherstellers, die in einigen Cisco-Produkten verwendet wird. Hierbei werde zwar, dem Advisory zufolge, wie bei der anderen Lücke keine Dechiffrierung der vorher verschlüsselten Informationen befürchtet. Doch wiederholtes Ausnutzen der Lücke könne ebenfalls zu einem Denial of Service führen. Der Fehler kann ausgeführt werden, wenn ein schadhaftes oder deformiertes Objekt der Sprache Abstract Syntax Notation One (ASN.1) geparst wird. Betroffen sind hiervon: ‘Cisco IOS’, ‘PIX Security Appliances ‘, ‘ASA Security Appliances’, ‘Firewall Service Module’ und der ‘Cisco Unified CallManager’.

Silicon-Redaktion

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago