Cisco veröffentlicht erneut ein Update für mehrer WLAN-Produkte für KMU. Bereits im Juni wurden die Geräte mit einem Patch versehen. Die Modelle RV110W, RV130W und RV215 litten unter einem HTTP-Parsing-Leck, das Cisco dann im Juni vermeintlich behoben hatte. Jetzt muss Cisco erneut Sicherheitspatches veröffentlichen.
Die Geräte lassen sich über ein Leck im Command Line Interface angreifen. Allerdings muss der Angreifer lokalen Zugriff auf das Gerät haben, wie Cisco warnt.
Dann aber kann dieser Shell-Befehle mit vollständigen Admin-Rechten ausführen. Der Fehler entsteht, weil die Eingabenkontrolle ungenügend ist. Cisco gibt daher das Risiko für dieses Leck mit “Medium” an.
In einem weiteren Fix, der ebenfalls die drei genannten Geräte betrifft, wurde ein statischer Default-Account deaktiviert, der ebenfalls mit Root-Rechten ausgestattet war. Das ist durchaus als grober handwerklicher Schnitzer zu werten udn sollte bei als “secure” oder gar “highly secure” beworbenen Geräten eigentlich nie der Fall sein.
Eine hohe Gefährdung geht von einem Fehler in der Verarbeitung von Session Initiation Protocol (SIP) im Unified Communications Manager Instant Messaging and Presence Service aus. Hier können unautorisierte Angreifer remote den SIP Proxy Daemon (sipd) zu einem Neustart zwingen, was in einer Denial of Service Attacke gipfeln kann.
Die Modelle RV180 VPN Router oder den RV180W Wireless-N Multifunction VPN Router leiden darüber hinaus an einem kritischen Leck, das Cisco aber nicht mehr beheben wird, weil die Geräte nicht mehr unterstützt werden. Hier sorg ein HTTP-Validation-Bug dafür, dass Angreifer beliebige Befehle mit Administratorrechten ausführen können. Auch kann eine unautorisierte Person Verzeichnisse sehen, die nicht öffentlich sein sollten. Als Workaround empfiehlt Cisco, den Remote-IP-Zugriff auf die Geräte zu begrenzen. Das behebet zwar den Fehler nicht, damit ist er aber wenigsten nicht mehr aus der Ferne ausnutzbar.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…