Cryptography: Cisco устранила уязвимость в операционной системе IOS

25 мая 2007 года, 13:19

Текст: Владимир Парамонов

Компания Cisco устранила очередную уязвимость в операционной системе IOS, применяющейся в качестве программной платформы для большинства коммутаторов и маршрутизаторов Cisco.

Как сообщается в бюллетене безопасности, опубликованном 22 мая, проблема связана с криптографической библиотекой стороннего разработчика. Брешь теоретически может использоваться злоумышленниками с целью проведения DoS-атак на удаленные устройства. Причем в ряде случаев для организации атаки нападающему даже не нужно знать пароль и имя пользователя для доступа к устройству.

При традиционной DoS-атаке, напомним, сеть компьютеров-зомби, контролируемых злоумышленниками, используется для генерации и отправки жертве многочисленных запросов. Как следствие, устройство-мишень, не справившись с огромным количеством данных, отказывается обслуживать пользователей.

Однако в случае с дырой в IOS, как сообщает CNET News со ссылкой на заявления специалиста института SANS Иоганнеса Уллриха, для проведения DoS-атаки достаточно отправить на уязвимое устройство всего несколько небольших пакетов данных. Это существенно упрощает процесс организации нападения.

Впрочем, случаев практической эксплуатации дыры в криптографической библиотеке IOS пока зафиксировано не было. Тем не менее, компания Cisco настоятельно рекомендует загрузить обновление пользователям таких продуктов, как Cisco PIX and ASA Security Appliances, Cisco Firewall Module, Cisco Unified CallManager и других.