Descripción
Cisco lanzó su publicación semestral Cisco IOS e IOS XE Software Security Advisory Bundled ayer, día 24 de marzo. La versión de la publicación, combinada con un asesoramiento de la seguridad del software, incluye 14 avisos de seguridad que describen 15 vulnerabilidades en el software Cisco IOS y el software Cisco IOS XE. Cisco ha publicado actualizaciones de software que abordan estas vulnerabilidades para todas ellas. Los 14 avisos tienen una calificación de impacto de seguridad de alta, casi todas ellas tienen entorno a un valor de 8 de CVSS. Para determinar rápidamente si una versión específica del software Cisco IOS o IOS XE se ve afectada por una o más vulnerabilidades, los clientes pueden utilizar Cisco Software Checker.
Recursos afectados
Cisco IOS y Cisco IOS XE
Vulnerabilidades
- CVE-2021-1392: Vulnerabilidad de escalada de privilegios de protocolo industrial común del software Cisco IOS e IOS XE
- CVE-2021-1432: Vulnerabilidad de ejecución de comandos arbitrarios del software Cisco IOS XE SD-WAN
- CVE-2021-1433: Vulnerabilidad de desbordamiento del búfer vDaemon del software Cisco IOS XE SD-WAN
- CVE-2021-1431: Vulnerabilidad de denegación de servicio vDaemon del software Cisco IOS XE SD-WAN
- CVE-2021-1398: Vulnerabilidad de ejecución de código arbitrario del software Cisco IOS XE
- CVE-2021-1352: Vulnerabilidad de denegación de servicio del software Cisco IOS XE DECnet Phase IV / OSI
- CVE-2021-1446: Vulnerabilidad de denegación de servicio de la puerta de enlace de la capa de aplicación del protocolo DNS del software Cisco IOS XE
- CVE-2021-1451: Vulnerabilidad de ejecución de código arbitrario del sistema de conmutación virtual fácil del software Cisco IOS XE
- CVE-2021-1375: Vulnerabilidades de recarga rápida del software Cisco IOS XE
- CVE-2021-1453: Software Cisco IOS XE para la vulnerabilidad de ejecución de código arbitrario de la familia Catalyst 9000
- CVE-2021-1441: Vulnerabilidad de ejecución de código arbitrario de las rutinas de inicialización del hardware del software Cisco IOS XE
- CVE-2021-1442: Vulnerabilidad de escalada de privilegios Plug-and-Play del software Cisco IOS XE
- CVE-2021-1403: Vulnerabilidad de secuestro de WebSocket entre sitios de la interfaz de usuario web del software Cisco IOS XE
- CVE-2021-1373: Software del controlador inalámbrico Cisco IOS XE para la vulnerabilidad de denegación de servicio CAPWAP de la familia Catalyst 9000
Solución
Todas las vulnerabilidades se encuentran solucionadas en la siguiente versión de cada uno de los productos en cuestión. Para una información más detallada, se puede acceder a los enlaces anteriormente proporcionados de cada una de las vulnerabilidades.
