Cisco ออกแพทช์อุดช่องโหว่บน NX-OS โดยเฉพาะบน Nexus 7000/7700

cisco_logo_2

Cisco ผู้ให้บริการโซลูชันด้านเครือข่ายและระบบ Cloud แบบครบวงจร ประกาศออกแพทช์อุดช่องโหว่ความรุนแรงระดับ Critical และ High บนระบบปฏิบัติการ NX-OS สำหรับ Switch ตระกูล Nexus โดยเฉพาะรุ่น Nexus 7000/7700 แนะให้ผู้ดูแลระบบรีบอัปเดตแพทช์โดยเร็ว

Credit: Visual Generation/ShutterStock
Credit: Visual Generation/ShutterStock

ช่องโหว่ความรุนแรงระดับ Critical 2 รายการ ประกอบด้วย

  • CVE-2015-0721: ช่องโหว่บนระบบ SSH ของ NX-OS ที่เกิดจากการประมวลผลพารามิเตอร์บางค่าขณะทำการ Negotiate การเชื่อมต่อ SSH กับอุปกรณ์ไม่ดีเพียงพอ ส่งผลให้แฮ็คเกอร์สามารถลอบส่งค่าพารามิเตอร์ผิดๆ ขณะทำการพิสูจน์ตัวตนเพื่อบายพาสระบบ AAA และรันคำสั่งบน CLI ทั้งที่ไม่มีสิทธิ์ได้ อุปกรณ์ที่ได้รับผลกระทบคือ Nexus Switch ที่ใช้ระบบปฏิบัติการ NX-OS ตั้งแต่รุ่น 1000v ไปจนถึง 9000
  • CVE-2016-1453: ช่องโหว่บน Overlay Transport Virtualization (OTV) GRE บน Nexus 7000 และ 7700 Series ซึ่งเกิดจากการตรวจสอบพารามิเตอร์ที่ระบุขนาดของ OTV Packet Header ไม่ดีเพียงพอ ก่อให้เกิด Buffer Overflow ส่งผลให้แฮ็คเกอร์สามารถรีสตาร์ทการทำงานของ Process ที่เกี่ยวข้องหรือส่งคำสั่งแปลกปลอมเข้ามารันเพื่อควบคุมอุปกรณ์แบบ Full Control ได้

นอกจากนี้ยังมีช่องโหว่ความรุนแรงระดับสูงอีก 2 รายการ ที่ช่วยให้แฮ็คเกอร์โจมตีแบบ DoS ได้ คือ CVE-2016-1454 และ CVE-2015-6393 ซึ่งทั้ง 2 รายการนี้ส่งผลกระทบต่อ Nexus Switch ที่ใช้ระบบปฏิบัติการ NX-OS ตั้งแต่รุ่น 1000v ไปจนถึง 9000

ที่มา: http://www.theregister.co.uk/2016/10/06/cisco_hugs_sysadmins_with_a_bunch_more_patches/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้