Cisco IOS és IOS XE szoftver DHCPv6 Relay sérülékenység
2016-03-23
Cisco IOS and IOS XE Software DHCPv6 Relay Denial of Service Vulnerability
CVE-2016-1348, Cisco Bug IDs: CSCus55821
A Cisco IOS és IOS XE szoftver DHCPv6 Relay funkciójának magas besorolású sérülékenysége lehetővé teszi egy nem azonosított távoli támadónak, hogy a támadott rendszert újraindulását okozza.
A sérülékenységet a DHCPv6 Relay üzenetek nem megfelelő érvénysítése. A támadó úgy tudja kihasználni a sérülékenységet, hogy speciális DHCPv6 Relay üzeneteket küld a támadott eszköznek. A sérülékenységet kihasználva a támadó a rendszer újraindulását okozhatja ezzel szolgáltatás megtagadás állapotot idézve elő.
A Cisco javító frissítést tett közzé a sérülékenysék javítására.
A sérülélenységgel érintettek azon Cisco IOS vagy IOS XE szoftvereket futtató eszközök, melyek valamely inerfészére a DHCPv6 Relay funkcó konfigurálva van.
További információk találhatók az alábbi linken:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160323-dhcpv6
Cisco UCS Invicta Default SSH Key sérülékenység
2016-04-06
Cisco UCS Invicta Default SSH Key Vulnerability
CVE-2016-1313, Cisco Bug IDs: CSCun71294
A Cisco UCS Invicta folyamatközi kommunikációjának (IPC) megvalósítása egy kritikus besorolású sérülékenységet tartalmaz, mely lehetővé teszi egy nem azonosított távoli támadónak, hogy a root felhasználó jogosultságaival kapcsolódjon a támadott rendszerhez.
A sérülékenységet a default titkos SSH kulcs léte okozza, mely nem biztonságos módon van tárolva a renszerben. A támadó a default titkos SSH kulcsot megszerezve tudja kihasználni a sérülékenységet, mivel jelszó nélkül tud bejelentkezni a rendszerbe root felhasználóként. A sérülékenységet kihasználva a támadó át tudja venni a rendszer irányítását.
A Cisco javító frissítést tett közzé a sérülékenysék javítására. Megelőző intézledések nem állnak rendelkezésre.
A sérülélenységgel érintett eszközök:
Whiptail Racerunner
Cisco UCS Invicta Scaling System and Appliance
Cisco UCS Invicta C3124SA Appliance
További információk találhatók az alábbi linken:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160406-ucs
Riasztás az Adobe Flash Player sérülékenységéről
2016-04-08
A Kormányzati Eseménykezelő Központ riasztást adott ki az Adobe Flash Player kritikus sérülékenysége kapcsán, annak súlyossága és aktív kihasználása miatt.
Az Adobe 24 biztonsági hibát javító frissítést adott ki a Flash Playerhez, amelyek közül több kritikus kockázati besorolású. A sérülékenységeket kihasználva tetszőleges kódok futtathatóak, egy sérülékenység esetén a támadók átvehetik az érintett rendszer felett az irányítást.
A Kormányzati Eseménykezelő Központ javasolja az alábbi, javított verziókra történő mielőbbi átállást:
Adobe Flash Player Desktop Runtime 21.0.0.213
Adobe Flash Player ESR 18.0.0.343
Adobe Flash Player 11.2.202.616 (Linux)
Automatikus frissítés Microsoft Windows RT 8.1 és Windows 10 alatt futó Microsoft Edge és Internet Explorer 11, illetve Google Chrome böngészőknél érhető el, amennyiben az automatikus frissítés engedélyezett.
Minden egyéb esetben manuálisan szükséges elvégezni a telepítést az Adobe Flash Player Download Center-en keresztül.
További információk találhatók az alábbi linkeken:
http://tech.cert-hungary.hu/vulnerabilities/CH-13151
https://helpx.adobe.com/security/products/flash-player/apsb16-10.html