Kwetsbaarheden in Cisco IOS verholpen

Er bevinden zich meerdere kwetsbaarheden in Cisco IOS en IOS XE.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden in Cisco IOS verholpen
Advisory ID     : NCSC-2016-0853
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2016-6409, CVE-2016-6410, CVE-2016-6414
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160922
Toepassing      : 
Versie(s)       : 
Platform(s)     : Cisco IOS
                  Cisco IOS XE

Samenvatting
   Er bevinden zich meerdere kwetsbaarheden in Cisco IOS en IOS XE.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden misbruiken voor het
   verkrijgen van gevoelige informatie, om een Denial-of-Service te
   veroorzaken of om willekeurige code uit te voeren onder de rechten
   van een gebruiker.

Beschrijving
   - CVE-2016-6409
   Er bevindt zich een kwetsbaarheid in de Data in Motion (DMo)
   component van Cisco IOS en IOS XE. Een ongeauthenticeerde
   kwaadwillende kan de kwetsbaarheid op afstand misbruiken om een
   Denial-of-Service te veroorzaken van het DMo-proces. Om de
   kwetsbaarheid te kunnen misbruiken moet de IOx-feature-set
   geactiveerd zijn.
   
   - CVE-2016-6410
   Er bevindt zich een kwetsbaarheid in het
   application-hosting-framework (CAF) van Cisco IOS en IOS XE. Een
   geauthenticeerde kwaadwillende kan de kwetsbaarheid op afstand
   misbruiken om willekeurige bestanden in te zien op het kwetsbare
   systeem. Om de kwetsbaarheid te kunnen misbruiken moet de
   IOx-feature-set geactiveerd zijn.
   
   - CVE-2016-6414
   Er bevindt zich een kwetsbaarheid in iox-commando van Cisco IOS en
   IOS XE. Een geauthenticeerde kwaadwillende kan de kwetsbaarheid
   lokaal misbruiken om willekeurige code uit te voeren binnen de
   context van het IOx Linux guest operating system (GOS). Cisco heeft
   geen updates beschikbaar gesteld waarmee deze kwetsbaarheid kan
   worden verholpen, ook zijn er geen workarounds beschikbaar.

Mogelijke oplossingen
   Cisco heeft updates beschikbaar gesteld waarin de kwetsbaarheden met
   CVE-ID CVE-2016-6409 en CVE-2016-6410 worden verholpen. Voor de
   kwetsbaarheid met CVE-ID CVE-2016-6414 zijn geen updates
   beschikbaar. Zie voor meer informatie:
   
   CVE-2016-6409:
   http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory
      /cisco-sa-20160921-dmo
   
   CVE-2016-6410:
   http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory
      /cisco-sa-20160921-caf
   
   CVE-2016-6414:
   http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory
      /cisco-sa-20160921-iox

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=q9QB
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig