Breaking News

Cisco ออกแพตช์อุดช่องโหว่ใน ASR 9000, WLAN Controller และซอฟต์แวร์ IOS/IOS XE แนะนำเร่งอัปเดต

Cisco ได้ประกาศออกแพตช์ช่องโหว่ในผลิตภัณฑ์ต่างๆ รวม 31 รายการประกอบด้วย 2 รายการเป็นช่องโหว่ระดับร้ายแรง (CVE 9.8) 6 รายการเป็นระดับรุนแรงสูงและสุดท้าย 23 รายการเป็นระดับปานกลาง โดยช่องโหว่รุนแรงเกิดกับซอฟต์แวร์ IOS หรือ IOS XE และเราเตอร์ ASR 9000 จึงแนะนำผู้ใช้รีบอัปเดต

Credit: Visual Generation/ShutterStock

ช่องโหว่ที่น่าสนใจมีดังนี้

  • CVE-2017-3881 – เป็นช่องโหว่ร้ายแรงที่เกิดขึ้นกับ Cluster Management Protocol ซึ่งเป็นโค้ดภายใน Cisco IOS และ IOS XE (ระบบปฏิบัติการของอุปกรณ์ Cisco) ที่สามารถนำไปสู่การทำ Remote Code Execution ด้วยสิทธิ์ระดับสูงได้ อย่างไรก็ตามไม่มี Workaround ที่ได้ผลดี ดังนั้นแนะนำให้อัปเดตแพตช์
  • CVE-2019-1710 – เป็นช่องโหว่ร้ายแรงที่เกิดขึ้นกับ ASR 9000 ซึ่งคนร้ายที่ยังไม่ได้พิสูจน์ตัวตนหรือจากทางไกลสามารถเข้าถึงแอปพลิเคชันภายในที่รันอยู่บน sysadmin VM เพราะไม่สามารถแบ่งแยก Management Interface กับ internal application ได้ดีเพียงพอ
  • ช่องโหว่ 6 รายการระดับรุนแรงสูงบนโปรโตคอล IAAP และหน้า GUI Admin ของ Wireless Lan Controller ซึ่งส่งผลให้ผู้โจมตีที่ยังไม่พิสูจน์ตัวตนหรือจากทางไกลทำการ DoS ได้

สำหรับช่องโหว่อื่นๆ อีก 23 รายการโดยภาพรวมคือ XSS, DoS และเกี่ยวกับการเข้าถึงที่ไม่ได้พิสูจน์ตัวตนซึ่งกระทบกับผลิตภัณฑ์จำนวนมาก เช่น UCS B-Series Blade Servers, Unified Communications Manager (Unified CM), DNA Center, Registered Envelope Service, Prime Network Registrar, Identity Services Engine (ISE), ASR 9000 routers, IOS XR Software, Expressway Series and TelePresence VCS, Email Security Appliance (ESA), Firepower Management Center (FMC), Directory Connector และ Aironet Series Access Points เป็นต้น

สามารถติดตามรายระเอียดช่องโหว่ทั้งหมดได้ที่เว็บของ Cisco

ที่มา :  https://www.darkreading.com/vulnerabilities—threats/cisco-issues-31-mid-april-security-alerts/d/d-id/1334476 และ  https://www.securityweek.com/cisco-patches-critical-flaw-asr-9000-routers และ  https://www.networkworld.com/article/3390159/cisco-warns-wlan-controller-9000-series-router-and-iosxe-users-to-patch-urgent-security-holes.html



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] แนะนำ 6 เทคโนโลยีการปกป้องข้อมูลให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “แนะนำ 6 เทคโนโลยีการปกป้องข้อมูลให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” พร้อมเจาะลึกความต้องการของ พ.ร.บ.ฯ ฉบับดังกล่าว และทำความรู้จักเทคโนโลยีแต่ละประเภทที่องค์กรสามารถนำไปประยุกต์ใช้เพื่อให้ตอบโจทย์ความต้องการเหล่านั้น ที่เพิ่งจัดไปเมื่อเดือนมีนาคมที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง …

ZOOM ชี้แจงผู้ใช้งานทั่วโลกถึงประเด็นด้านความมั่นคงปลอดภัย, 1-TO-ALL ตัวแทนจำหน่ายในไทยแปลเป็นภาษาไทยแล้ว

สำหรับผู้ใช้งาน ZOOM ในไทยที่อาจกำลังกังวลอยู่ในประเด็นด้านความมั่นคงปลอดภัยและความเป็นส่วนตัวของข้อมูลจากข่าวสารในช่วงนี้ ทาง ZOOM ได้ออกมาชี้แจงแล้วอย่างเป็นทางการ และ 1-TO-ALL ตัวแทนจำหน่ายในไทยก็ได้จัดการแปลเนื้อหาทั้งหมดเป็นภาษาไทยถึงผู้อ่านทุกท่านแล้วดังนี้ครับ