Kwetsbaarheden gevonden in Cisco IOS

Er bevinden zich drie kwetsbaarheden in Cisco IOS. Cisco heeft updates uitgebracht voor twee kwetsbaarheden.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden gevonden in Cisco IOS
Advisory ID     : NCSC-2016-0836
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2016-6403, CVE-2016-6404, CVE-2016-6415
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Cross-Site Scripting (XSS)
                  Denial-of-Service (DoS)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160921
Toepassing      : 
Versie(s)       : 
Platform(s)     : Cisco IOS

Update
   Voor de kwetsbaarheid met CVE-ID CVE-2016-6415 zijn nog geen patches
   beschikbaar. Dit is aangepast in het advies. De inschaling van dit
   advies veranderd daardoor niet.

Samenvatting
   Er bevinden zich drie kwetsbaarheden in Cisco IOS. Cisco heeft
   updates uitgebracht voor twee kwetsbaarheden.

Gevolgen
   Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheden mogelijk 
   op afstand misbruiken voor het verkrijgen van gevoelige informatie,
   om een Denial-of-Service te veroorzaken of voor het uitvoeren van
   een Cross-Site Scripting (XSS) aanval.

Beschrijving
   - CVE-2016-6403
   Er bevindt zich een kwetsbaarheid in de DMo-applicatie in Cisco IOS
   en IOS XE. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheid
   op afstand misbruiken door een malafide netwerk-packet te sturen
   naar het kwetsbare device en kan hiermee mogelijk een
   Denial-of-Service veroorzaken. Alleen IOS-versies met de
   IOx-feature-set zijn kwetsbaar.
   
   - CVE-2016-6404
   Er bevindt zich een kwetsbaarheid in de Cisco Local Manager in Cisco
   IOS en IOS XE. Een ongeauthenticeerde kwaadwillende kan de
   kwetsbaarheid op afstand misbruiken om een XSS-aanval uit te voeren
   op de web-interface van het kwetsbare device. De gebruiker moet
   hiervoor wel door de kwaadwillende verleid worden om malafide code
   te openen in de webbrowser.
   
   - CVE-2016-6415
   Er bevindt zich een kwetsbaarheid in de IKEv1-packet-verwerking in
   Cisco IOS, IOS XE en IOS XR. Een ongeauthenticeerde kwaadwillende
   kan de kwetsbaarheid mogelijk op afstand misbruiken om geheugen uit
   te lezen en gevoelige informatie te bemachtigen. De kwetsbaarheid
   bestaat doordat er onvoldoende controle wordt toegepast op de IKEv1
   security-negotiation-requests.

Mogelijke oplossingen
   Cisco heeft updates uitgebracht voor de kwetsbaarheden met CVE-ID
   CVE-2016-6403 en CVE-2016-6404. U kunt de updates downloaden van de
   website van Cisco. Zie voor meer informatie:
   
   CVE-2016-6403:
   http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory
      /cisco-sa-20160914-ios-xe
   
   CVE-2016-6404:
   https://tools.cisco.com/security/center/content
      /CiscoSecurityAdvisory/cisco-sa-20160914-ios
   
   Voor de kwetsbaarheid met CVE-ID CVE-2016-6415 is nog geen patch
   beschikbaar gesteld. Zie voor meer informatie:
   
   https://tools.cisco.com/security/center/content
      /CiscoSecurityAdvisory/cisco-sa-20160916-ikev1

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8

wsDVAwUBV+K44DeMwlgPRdL0AQhu/Qv8DR6jpcLGwEJ/OtXqTG1KO5YpRtnl5dp/
JwNaaQtpBEVqQHmBHLOaMlmOXSXiRcjAcNBrbpZCIHm7E6rYaAv//JTRE+MDdvzO
6ouUfO1elq479LmL9l1mJBzKivKyw1hY7x75F5j0MlGOuflYmDKsO2Bm+eFG3VtL
WYUkvRSOSl/tdEJIbXmjraQbwQqI3/Z4g5+d42mvM8ZRQBBe8OBCNJVT5zoSqcGJ
tY+sSTPHMSRVitV4F0m8n1iLZX6TWrEZ2AHRm1A0e/h7hrFhWGlu0xpnW8/pBXl7
AkObX4/H2beDrLzWdgWf9y7khe2dZz+BNOgNNL00zlgPgqICETkWGE6KVmVPbduq
MvRVivwELNbUAY1rmOR797xb+PsZtuJL+MARpmdtU39+ZupPbkAG7ER7PL/e3WEN
I4b8c3nAcc/AMMZuf8s6NhsP/IzT10gcUpfIc65GktXk32ZKPFgemOD5fx127myW
ub9M6PZzeXy3m3AzhsaGXAs8PZHcf/yC
=wN7P
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig