Исправлена ​​уязвимость цепочки поставок Cisco Catalyst 9300

139

Cisco обнаружила в программном обеспечении коммутатора Catalyst 9300 уязвимость с высоким рейтингом, которая позволяет злоумышленнику установить постоянный код во время загрузки.

Баг, подробно здесьдля эксплуатации требуются «привилегии 15-го уровня» или «неавторизованный злоумышленник с физическим доступом».

Это означает, что злоумышленник в цепочке поставок — например, скомпрометированный персонал торгового посредника — может «выполнить постоянный код во время загрузки и нарушить цепочку доверия».

«Эта уязвимость связана с ошибками, возникающими при получении открытого ключа выпуска, используемого для проверки подписи изображения», — говорится в бюллетене.

Коммутаторы уязвимы, если они работают под управлением программного обеспечения IOS XE с использованием монитора ПЗУ IOS XE более ранних версий, чем выпуск 17.3.7r, выпуск 17.6.5r или выпуск 17.8.1r.

Ошибка была одной из девяти уязвимостей с высоким рейтингом и девяти уязвимостей со средним рейтингом. раскрыто сегодняв том числе шесть, связанных с программным обеспечением IOS и IOS XE компании.

Читать полную новость на сайте