Vulnerabilidad de validación incorrecta de entrada en las series Nexus 9000 de Cisco

Fecha de publicación: 01/08/2019

Importancia:
Alta

Recursos afectados:

Series Nexus 9000 del producto Cisco Fabric Switches en modo ACI, si están ejecutando el software Cisco Nexus 9000 Series ACI en modo switch, versiones anteriores a 13.2(7f) o cualquiera de la rama 14.x.

Descripción:

Una vulnerabilidad en el subsistema Link Layer Discovery Protocol (LLDP), del software Cisco Nexus 9000 Series ACI en modo switch, permitiría a un atacante adyacente no autenticado provocar una condición de denegación de servicio (DoS) o ejecutar código arbitrario con privilegios de root.

Solución:

Las actualizaciones que corrigen la vulnerabilidad indicada pueden descargarse desde: Panel de descarga de Software Cisco.

Detalle:

La vulnerabilidad se debe a una validación de entrada incorrecta de ciertos campos de tipo, longitud y valor (TLV) del encabezado del marco LLDP. Un atacante podría explotar esta vulnerabilidad enviando un paquete LLDP al dispositivo objetivo. Un exploit exitoso puede llevar a una condición de desbordamiento de búfer que podría causar una condición de DoS o permitir que el atacante ejecute código arbitrario con privilegios de root. Se ha asignado el identificador CVE-2019-1901 para esta vulnerabilidad.

Etiquetas:
Actualización, Cisco, Vulnerabilidad