CERT-FI haavoittuvuustiedote 127/2010
16.8.2010
Cisco päivitti ACE-sovelluspalvelimia
| |
|
|
| Kohde: |
- verkon aktiivilaitteet
|
Lisätietoja |
| Hyökkäystapa: |
- ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
|
Lisätietoja |
| Hyväksikäyttö: |
- palvelunestohyökkäys
|
Lisätietoja |
| Ratkaisu: |
- korjaava ohjelmistopäivitys
|
Lisätietoja |
Ciscon ACE (Application Control Engine) on sovellustason järjestelmä palvelujen toimittamiseen sekä palveluliikenteen suodattamiseen ja kuormanjakoon. Järjestelmä on saatavilla omana laitteenaan tai lisäosana Ciscon kytkimiin ja reitittimiin. ACE-järjestelmästä on löydetty neljä haavoittuvuutta, jotka liittyvät HTTP-, RTSP- ja SIP-liikenteen tarkasteluun sekä SSL-liikenteen käsittelyyn. Liikenteen tarkastelutoiminnot eivät ole käytössä laitteen oletusasetuksissa. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista saattaa laite palvelunestotilaan. Haavoittuvuuksien hyväksikäyttö ei vaadi kirjautumista.
HAAVOITTUVAT OHJELMISTOT:
- Cisco ACE 4710 Application Control Engine
- Cisco ACE Module
Tarkemmat versiotiedot löytyvät Ciscon
tiedotteesta.
RATKAISU- JA RAJOITUSMAHDOLLISUUDET:
Päivitä ohjelmisto valmistajan ohjeiden mukaisesti.
LISÄTIETOA:
PÄIVITYSHISTORIA:
13.8.2010, kello 15.39: Julkaistu erehdyksessä tällä haavanumerolla sama Safari-haava kuin haavoittuvuustiedotteessa 115/2010
16.8.2010, kello 15.35: Julkaistu
| Sivua päivitetty 20.09.2010 |
|
 |
Tulostusversio |
