Cisco усунула вразливості у Cisco Industrial Network Director (IND) та Cisco Unified Presence (Cisco Unified CM IM&P Service, Cisco VCS та Cisco Expressway)
Cisco усунула уразливості у Cisco Industrial Network Director (IND) та Cisco Unified Presence (Cisco Unified CM IM&P Service, Cisco VCS та Cisco Expressway)
Cisco усунула дві небезпечні вразливості, які стосуються функції оновлення у програмному пакеті Cisco Industrial Network Director (IND) та сервіс авторизації платформи Cisco Unified Presence (Cisco Unified CM IM&P Service, Cisco VCS та Cisco Expressway).
Cisco IND - рішення для управління промисловими системами автоматизації, а Cisco Unified Presence є корпоративною платформою, що забезпечує збір інформації про поточний стан доступності клієнта та можливість підключення до клієнта альтернативними способами.
ПО Cisco IND містить вразливість (CVE-2019-1861), що дозволяє авторизованому атакуючому виконати код на пристроях під керуванням вразливого програмного забезпечення. Проблема пов'язана з некоректною перевіркою файлів, що завантажуються у програму. Вразливість стосується версії Cisco IND до 1.6.0.
Рішення Cisco Unified Presence схильне вразливості (CVE-2019-1845), за допомогою якої неавторизований зловмисник може віддалено ініціювати відмову в обслуговуванні в процесі авторизації користувачів на вразливих серверах. Проблема викликана недостатнім контролем певних операцій у пам'яті. Атакуючий може проексплуатувати баг шляхом надсилання спеціально сформованих Extensible Messaging та Presence Protocol (XMPP) запитів авторизації на вразливу систему. Успішна атака призведе до несподіваного перезапуску сервісу автентифікації та неможливості авторизуватись.
Проблема усунена у випусках Cisco Expressway Series та Cisco TelePresence VCS X12.5.3 і вище.
