Der Netzwerkausrüster Cisco hat soeben Sicherheitsupdates für eine ganze Reihe von Produkten veröffentlicht. Die einzige kritische Sicherheitslücke, die damit geschlossen wurde, betrifft den Cisco Application Policy Infrastructure Controller (APIC) und dessen Cloud-Pendant als Herzstücke von Ciscos Application Centric Infrastructure (ACI).
Ein unauthentifizierter Angreifer könnte aus der Entfernung die Lücke in einem API-Endpunkt (CVE-2021-1577, CVSS-Score 9.1) durch das Hochladen einer speziell dafür präparierten Datei für lesende und schreibende Dateizugriffe missbrauchen. Updates sind verfügbar – Workarounds dazu gibt es nicht.
Sicherheitshinweise mit “High”-Kennzeichnung
Auf APIC zielen noch zwei weitere frisch veröffentlichte Sicherheitshinweise – außerdem auf Nexus 9000-Switches und die Netzwerksoftware NX-OS. Die Risikoeinstufung ist jeweils “High”; mögliche Folgen eines gelungen Angriffs können je nach Lücke und Produkt etwa das Erlangen von Admin-Rechten durch die Angreifer (beim APIC) oder Denial-of-Service-Zustände (bei Nexus-Switches bzw. NX-OS) sein.
Hier eine Übersicht über die Advisories zu den ernsten Sicherheitslücken:
- APIC Privilege Escalation Vulnerability
- APIC App Privilege Escalation Vulnerability
- NX-OS Software VXLAN OAM (NGOAM) DoS Vulnerability
- NX-OS Software MPLS OAM DoS Vulnerability
- Nexus 9000 Series Fabric Switches DoS Vulnerability ( 1 / 2)
