Ancora vulnerabilità per i prodotti Cisco

Cisco ha pubblicato recentemente un advisory di sicurezza in cui viene riportata una vulnerabilità che interessa il line printer daemon (LPD) del proprio IOS. Un utente potrebbe sfruttare questa falla per causare un crash del sistema o comunque comprometterlo. Il buffer overflow è dovuto all’incapacità di gestire hostname di lunghezza oltre un certo limite.
Fortunatamente LPD è disabilitato di default e un aggiornamento all’IOS, che risolve il problema, è già stato rilasciato.

Un altro bug di sicurezza si ha nella fase di conversione di un CiscoWorks Wireless LAN Solution Engine (WLSE) in un Cisco Wireless Control System (WCS). L’advisory riporta come il tool di conversione crei account con privilegi amministrativi con credenziali di default. Il problema affligge la Convert Utility fino alla versione 4.1.91.0 e interessa la la conversione da sistemi WLSE a WCS.
La raccomandazione è quella di re-impostare password strong per tutti gli account.

LINKS:
Cisco IOS Line Printer Daemon (LPD) Protocol Stack Overflow, security advisory from Cisco
http://www.irmplc.com/index.php/155-Advisory-024, security advisory from IRM
Cisco Wireless Control System Conversion Utility Adds Default Password, security advisory from Cisco
Vulnerabilities in Cisco Products, by Heise-Security

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *