• Thứ Hai, 30/03/2009 08:06 (GMT+7)

    Cisco sửa nhiều lỗi trong router

    Cisco Systems đã phát hành 8 bản cập nhật bảo mật cho phần mềm IOS (Internetwork Operating System) dùng trong các bộ định tuyến (router) của họ.

    Các miếng vá được phát hành hôm 23/3/2009 (ngày được Cisco định trước cho việc cập nhật IOS 2 lần/năm). Chưa có lỗi nào bị công khai trước khi Cisco phát hành các bản cập nhật.

    Ông Jean Reese, người quản lý đội Product Security Incident Response Team của Cisco cho biết, 8 bản cập nhật này sửa 11 lỗi bảo mật, phần lớn các lỗi có thể bị tin tặc khai thác để làm treo hoặc ngắt dịch vụ tới một router. Ví dụ, Cisco đã vá 2 lỗi trong phần mềm SSL VPN (Secure Sockets Layer Virtual Private Network) có thể bị tin tặc khai thác (bằng cách gửi đi gói tin HTTPS được tạo ra một cách đặc biệt tới router) làm “đông cứng” thiết bị. Tuy nhiên, lỗi không ảnh hưởng tới thiết bị ASA 5500 hoặc các phần mềm Cisco IOS XR/XE.

    Một lỗi nghiêm trọng khác ảnh hưởng tới những người sử dụng bật giao thức SCP (Secure Copy Protocol), cho phép truyền file qua mạng từ một thiết bị Cisco IOS được cấu hình như máy chủ SCP. Lỗ hổng này được nhà nghiên cứu Kevin Graham thông báo cho Cisco.

    Cisco cùng nhiều nhà sản xuất khác đã và đang làm việc để vá một lỗi TCP/IP lớn trong các router của họ, có thể bị dùng trong kiểu tấn công Sockstress. Tuy nhiên ông Reese từ chối cho biết lỗ hổng này có được vá trong lần này hay không.

    Bạch Đình Vinh
    Theo IDG News Service, 25/3/2009

    ID: O0903_1