Cisco แพตช์อุดช่องโหว่รุนแรงสูงบน IND และ Unified Presence

Cisco ได้ออกแพตช์อุดช่องโหว่การตรวจสอบอินพุตน์ไม่ดีเพียงพอบนซอฟต์แวร์ Industrial Network Director (IND) และ บริการพิสูจน์ตัวตนของ Unified Presence (Unified CM IM&P Service, VCS และ Express Series)

Credit: Visual Generation/ShutterStock

สำหรับ Cisco IND คือโซลูชันสำหรับเรื่อง Control และ Visibility ใน Industrial Automation Network โดยช่องโหว่หมายเลขอ้างอิง CVE-2019-1861 มีระดับความรุนแรงที่ 7.6 ซึ่งเป็นช่องโหว่ Remote Code Execution ที่ทำให้แฮ็กเกอร์ลอบรันโค้ดได้ อย่างไรก็ตาม Cisco เผยว่าช่องโหว่เกิดเพราะมีการตรวจสอบไฟล์ที่ถูกอัปโหลดได้ไม่ดีพอกับแอปพลิเคชันที่ได้รับผลกระทบ” ทั้งนี้ Cisco แก้ไขแล้วใน IND เวอร์ชัน 1.6.0

Cisco Unified Presence เป็นแพลตฟอร์มระดับองค์กรสำหรับแลกเปลี่ยน Presence และ Instant Message ภายในองค์กร ทั้งนี้ช่องโหว่ CVE-2019-1845 ที่เกิดขึ้นมีระดับความแรงสูงที่ 8.6 โดยช่องโหว่ทำให้แฮ็กเกอร์ที่ยังไม่ได้พิสูจน์ตัวตนทำให้บริการขาดหายไปเมื่อผู้ใช้พยายามพิสูจน์ตัวตนกับเซิร์ฟเวอร์ที่มีช่องโหว่ (DoS) ที่ Cisco กล่าวว่า “ช่องโหว่เกิดจากควบคุมปฏิบัติการบนหน่วยความจำไม่ดีพอ ทำให้แฮ็กเกอร์สามารถส่ง Request ของ Extensible Messaging and Presence Protocol (XMPP) ที่ผิดรูปแบบเข้ามาใช้งานช่องโหว่ได้” อย่างไรก็ตามผลกระทบและการแก้ไขมีดังนี้

  • กระทบกับ Express Series configured และ TelePresence VCS configured ของ Mobile และ Remote Access กับ IM&P Service ในเวอร์ชัน X8.1 ถึง X12.5.2 ซึ่งแก้ไขแล้วด้วยเวอร์ชัน X12.5.3
  • กระทบกับ Unified Communication Manager IM&P Service  ในหลายเวอร์ชันแต่แก้แล้วด้วยเวอร์ชัน 11.5(1) SU6 หรือ 12.5(1), 12.5(1) เป็นต้น ติดตามเพิ่มเติมได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/security/cisco-fixes-high-severity-flaws-in-industrial-enterprise-tools/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

NEXUS เชิญร่วมสัมมนาฟรี “Digitizing Intelligent Omni-Channel for your Retail Business” อาวุธลับความสำเร็จของธุรกิจค้าปลีกในรูปแบบใหม่

บริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อเพิ่มศักยภาพธุรกิจ ร่วมกับ SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 และ DELL EMC ผู้ให้บริการฮาร์ดแวร์ ชั้นนำของโลก ขอเรียนเชิญผู้บริหาร ทีมไอที และผู้ที่สนใจเข้าร่วมงานสัมมนา "Digitizing Intelligent Omni-Channel for your Retail Business" เพื่อเรียนรู้แนวทางการประยุกต์ใช้เทคโนโลยีต่างๆ มาเปลี่ยนให้ธุรกิจค้าปลีกของคุณก้าวสู่การเป็น Omni-Channel และ Online-to-Offline (O2O) ได้อย่างเต็มตัว ในวันที่ 30 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้

กรณีศึกษา: API กับการทำ Open Banking และการนำ API ไปต่อยอดธุรกิจในอุตสาหกรรมอื่นทั่วโลก

คงปฏิเสธไม่ได้ว่าทุกวันนี้ข้อมูลได้เข้ามามีบทบาททั้งในการทำงานและการใช้ชีวิตประจำวันของทุกคนเป็นอย่างมาก และ API นั้นก็ถือเป็นเบื้องหลังที่สำคัญอันหนึ่งในการทำให้การนำข้อมูลมาใช้งานนั้นเกิดขึ้นได้อย่างแพร่หลายและกว้างขวางอย่างทุกวันนี้ ในบทความนี้เราจะมาเล่าถึงกรณีศึกษาในการนำ API มาใช้ในธุรกิจต่างๆ ทั้งกรณีของการทำ Open Banking ที่กำลังเป็นแนวโน้มใหญ่ และการใช้งาน API ในธุรกิจอุตสาหกรรมอื่นๆ เพื่อเป็นแนวทางให้ทุกท่านได้นำไปประยุกต์ใช้เข้ากับธุรกิจของตนเองได้