Cisco publiziert Patches für Lücken in IOS und IOS XE

Der US-Hersteller Cisco hat ein Dutzend schwerwiegender Schwachstellen in seinen Betriebssystemen IOS und IOS XE bekannt gegeben und Security-Updates publiziert.Ein entfernter, anonymer oder authentisierter Angreifer könne mehrere Schwachstellen in IOS XE und IOS ausnutzen, um DoS-Angriffe durchzuführen, vertrauliche Daten einzusehen und zu manipulieren sowie um seine Zugriffsprivilegien zu erweitern, fasst das deutsche Bundesamt für Sicherheit in der Informationssicherheit (BSI) zusammen. Ausserdem könne Code mit Admin-Rechten ausgeführt werden.Eine Lücke (CVE-2019-12648) bewertet Cisco im zehnstufigen Common Vulnerability Scoring System (CVSS) mit 9,9 Punkten. Die Schwachstelle betrifft Ciscos "800 Series Industrial Integrated Services Router"und "1000 Series Connected Grid Router" (CGR 1000), die eine gefährdete Version der Cisco IOS-Software mit installiertem Gastbetriebssystem ausführen, schreibt Cisco. Ein Fehler in der Zugriffskontrolle erlaube einem Nutzer mit niedrigen Rechten, sich Zugang zum Gast-OS und damit zu Admin-Rechten zu verschaffen.Cisco hat Sicherheitsupdates veröffentlicht, um die Schwachstelle für alle betroffenen Geräte zu beheben, und empfiehlt seinen Kunden, sich bei Bedarf an das Cisco Technical Assistance Center (TAC) oder an vertragliche Wartungsanbieter zu wenden. Weitere Informationen gibt es im halbjährlich publizierten gebündelten Security-Advisory für Cisco IOS and IOS XE. (kjo)