Veszélyes hibákat szüntet meg a Cisco-patch

A Cisco tavaly határozta el, hogy a Microsofthoz, illetve az Oracle-höz hasonlóan, meghatározott időközönként teszi elérhetővé a biztonsági hibajavításait. Ezzel a cég a frissítések elvégzésének ütemezését, valamint a javításokat szerette volna hatékonyabbá és tervezhetőbbé tenni a vállalati felhasználók számára. A Cisco körülbelül egy évvel ezelőtt úgy döntött, hogy évente két alkalommal (márciusban és szeptemberben) fogja közzétenni a biztonsági közleményeit, illetve az azokhoz tartozó frissítéseit, amit a cég azóta is betart.

A Cisco 2009-es első hibajavításai nyolc frissítés köré csoportosulnak, és összesen tizenegy sebezhetőséget szüntetnek meg az IOS-ben (Internetwork Operating System). Jean Reese, a Cisco PSIRT (Product Security Incident Response Team) egyik vezető szakembere szerint a mostani patch-ek elsősorban olyan sérülékenységeket orvosolnak, amelyek kihasználásával a támadók a routerek összeomlását vagy egyes szolgáltatások megbénítását idézhetik elő.

A Cisco által bejelentett biztonsági rések közül külön figyelmet érdemelnek az SSL VPN (Secure Sockets Layer Virtual Private Network) kezelésében felfedezett és kijavított sebezhetőségek. A támadók ugyanis speciálisan szerkesztett HTTPS csomagok révén viszonylag egyszerűen használhatják ki e hibákat, és béníthatják meg az érintett eszközök működését.

Ugyancsak érdemes odafigyelni arra a sérülékenységre, amely az SCP (Secure Copy Protocol) protokoll esetenkénti nem megfelelő kezelésére vezethető vissza, és különböző jogosulatlan műveleteket, például a konfigurációs állományok illetéktelen módosítását segíthetik elő.

Az amerikai Computerworld információi szerint a Cisco és egyéb gyártók annak a sebezhetőségnek a javításán is dolgoznak, amely egy általános és meglehetősen kockázatos TCP/IP sérülékenységre vezethető vissza, és úgynevezett Sockstress támadásokra ad lehetőséget. A Cisco nem kívánta elárulni, hogy a mostani frissítései révén sikerült-e kiküszöbölni ezt a biztonsági problémát. Vélhetőleg azonban még nem, ugyanis a cég közleményeiben a Sockstress módszert publikáló két szakember (Robert E. Lee és Jack C. Louis) neve nem szerepel.

A Cisco IOS következő frissítésére a jelenlegi tervek szerint szeptember 23-án kerül sor. A Cisco hibajavításairól további részletek az Isidor Biztonsági Központ weboldalán olvashatók.

A hír a Computerworld.hu biztonság rovatában jelent meg.