Összefoglaló 2017-04-25

BIND sérülékenységek

2017-04-13

A BIND három sérülékenysége vált ismertté, melyeket kihasználva a támadó szolgáltatás-megtagadást érhet el.

  • CVE-2017-3136 - A named szolgáltatás hibája egy speciálisan megszerkesztett CNAME vagy DNAME válasz visszaküldésével használható ki, amelynek segítségével a szolgáltatás összeomlása, szolgáltatás-megtagadás érhető el.

  • CVE-2017-3137 - A named szolgáltatás egy másik hibája az ACL-ből engedélyezett felhasználó számára - a folyamat összeomlasztásával - lehetővé teszi, hogy egy speciálisan megszerkesztett NULL sztringeket tartalmazó parancs segítségével szolgáltatás-megtagadást okozzon.

  • CVE-2017-3138 - A DNS64 hibája egy speciálisan megszerkesztett kérés segítségével használható ki, és a szolgáltatás összeomlása, valamint szolgáltatás-megtagadás érhető el általa.

A sérülékenységet javító szoftverfrissítések rendelkezésre állnak.

További információk találhatók az alábbi linkeken:

Cisco IOS and IOS XE szoftver EnergyWise sérülékenysége

2017-04-19

Cisco IOS and IOS XE Software EnergyWise Denial of Service Vulnerabilities

CVE-2017-3860,CVE-2017-3861,CVE-2017-3862,CVE-2017-3863

Cisco Bug IDs: CSCur29331, CSCut47751, CSCut50727, CSCuu76493

A Cisco IOS és IOS XE szoftver EnergyWise moduljának többszörös magas kockázati besorolású sérülékenysége lehetővé teszi, hogy egy távoli nem azonosított támadó buffer túlcsordulást vagy az eszköz újra indulását idézze elő, ami szolgáltatás-megtagadás állapotot eredményez.

A sérülékenységet a rosszindulatúan szerkesztett EnergyWise csomagok nem megfelelő ellenőrzése okozza. A sérülékenység úgy használható ki, hogy a támadó rosszindulatúan szerkesztett EnergyWise csomagokat küld feldolgozásra a támadott eszköznek. A sérülékenység sikeres kihasználásával a támadó buffer túlcsordulást vagy az eszköz újraindulását okozva szolgáltatás-megtagadás állpotot hozzon létre.

A Cisco szoftver frissítést adott ki a sérülékenység javítására. Megelőző intézkedések nem állnak rendelkezésre.

További információk és a sérülékenységgel érintett eszközök listája megtalálhatók az alábbi linkeken: