Ten alert bezpieczeństwa adresowany jest do firm posiadających rozwiązania Cisco

Cisco opublikowało pilny alert informujący użytkowników, że w jego produktach wykryto podatności, które pozwalają hakerom włamywać się do nich. Są to podatności, które znajdują się w produktach obsługujących pocztę elektroniczną oraz zarządzających siecią.

Grafika: homas Jensen/Unsplash

Luki znajdują się w internetowym interfejsie zarządzania Cisco Secure Email and Web Manager (znanym wcześniej jako Cisco Security Management Appliance) oraz w Cisco Email Security Appliance (w skrócie ESA).

Obie pozwalają hakerom uzyskiwać dostęp do poufnych informacji za pośrednictwem obsługującego oba rozwiązania oprogramowania LDAP (Lightweight Directory Access Protocol) - zewnętrznego protokołu uwierzytelniania służącego do uzyskiwania dostępu do usług świadczonych przez publiczny Internet oraz korporacyjne intranety. Pocieszającym jest fakt, że jak dotąd nie odnotowano żadnego incydentu świadczącego o tym, że hakerzy znają luki i zdążyli je wykorzystać.

Zobacz również:

  • Uprawnienia na Androidzie - jak złączyć bezpieczeństwo z wygodą
  • Cisco opuści rynek rosyjski

Cisco informuje, że są to bardzo groźne luki, gdyż w skali CVSS oceniającej ich złośliwość (skrót od słów Common Vulnerability Scoring System) przyznano im 7,7 punktów. Podatnościom nadano nazwy CSCvz20942 i CSCvz40090.

Firma potwierdziła też, że rozwiązanie Cisco Secure Web Appliance (znane wcześniej jako WSA; Cisco Web Security Appliance (WSA) nie zawiera żadnej z wymienionych powyżej podatności i jest bezpieczne.

Cisco opracowało już bezpłatne aktualizacje oprogramowania usuwające wspomniane luki, które klienci mogą zgodnie z zawartymi umowami serwisowymi pobierać z jej witryny. Tym natomiast klientom, którzy nie mają ważnej umowy serwisowej (lub którzy nabyli produkty za pośrednictwem zewnętrznych punktów sprzedaży), zaleca się zakup takich łat, kontaktując się z Cisco TAC (Technical Assistance Center; Centrum pomocy technicznej).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200