Хакер #305. Многошаговые SQL-инъекции
На этой неделе разработчики Cisco исправили более 30 багов в своих продуктах, включая критическую проблему в маршрутизаторах серии ASR 9000, работающих под управлением 64-битной IOS XR.
Уязвимость получила идентификатор CVE-2019-1710 и набрала 9,8 баллов по шкале CVSS из 10 возможных. Разработчики поясняют, что корень проблемы заключается в некорректной изоляции вторичного интерфейса управления и внутренних приложений администратора. В результате неаутентифицированный атакующий может получить доступ к внутренним приложениям на виртуальной машине администратора. Итогом эксплуатации этой проблемы может стать отказ в обслуживании или удаленное выполнение произвольного кода.
Уязвимость была исправлена в составе 64-битной IOS XR версий 6.5.3 и 7.0.1.
Также инженеры Cisco устранили различные баги в составе Inter-Access Point Protocol (IAPP), WLC (Wireless LAN Controller), UCS B-Series Blade серверах, Unified Communications Manager и так далее. С полным списком патчей можно ознакомиться здесь.
Кроме того, разработчики опубликовали отдельные предупреждения, касающееся исправленных ранее уязвимостей, которые, по данным ИБ-экспертов, применяет для своих атак хакерская группа в Sea Turtle, промышляющая DNS-атаками, и другие злоумышленники.