Компания Cisco предупреждает о многочисленных критических "нулевых днях" удаленного выполнения кода в веб-интерфейсе управления отслуживших свой срок IP-телефонов Small Business SPA 300 и SPA 500.
Производитель не предоставил исправлений для этих устройств и не поделился советами по их устранению, поэтому пользователям этих продуктов придется как можно скорее перейти на более новые и активно поддерживаемые модели.
Cisco раскрыла пять уязвимостей, три из которых относятся к категории критических (CVSS v3.1 score: 9.8), а две - к категории высокой серьезности (CVSS v3.1 score: 7.5).
Критические уязвимости отслеживаются как CVE-2024-20450, CVE-2024-20452 и CVE-2024-20454.
Эти уязвимости, связанные с переполнением буфера, позволяют удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольные команды на базовой ОС с привилегиями root, отправив на целевое устройство специально сформированный HTTP-запрос.
"Успешная эксплуатация может позволить злоумышленнику переполнить внутренний буфер и выполнить произвольные команды на уровне привилегий root", - предупреждает Cisco в бюллетене.
Два дефекта высокой степени серьезности - CVE-2024-20451 и CVE-2024-20453. Они вызваны неадекватной проверкой HTTP-пакетов, что позволяет вредоносным пакетам вызвать отказ в обслуживании на пораженном устройстве.
Cisco отмечает, что все пять дефектов затрагивают все выпуски программного обеспечения, используемые в IP-телефонах SPA 300 и SPA 500, независимо от их конфигурации, и не зависят друг от друга, что означает, что их можно использовать по отдельности.
По данным портала поддержки Cisco, последний раз SPA 300 продавался заказчикам в феврале 2019 года, а его поддержка завершилась через три года, в феврале 2022 года.
Что касается SPA 500, то производитель прекратил продажи оборудования в тот же день, когда закончилась его поддержка, - 1 июня 2020 года.
Следует отметить, что Cisco продолжает поддерживать SPA 500 до 31 мая 2025 года для владельцев сервисных контрактов или специальных гарантийных условий, а SPA 300 не поддерживается с 29 февраля 2024 года.
Ни один из этих телефонов не получит обновления безопасности, поэтому пользователям рекомендуется перейти на более новые поддерживаемые модели, такие как Cisco IP Phone 8841 или модель из серии Cisco 6800.
Cisco также предлагает программу Technology Migration Program (TMP), которая позволяет клиентам обменять подходящие продукты и получить кредит на новое оборудование.
Тем, кто не уверен в своих возможностях, рекомендуется обратиться в центр технической поддержки Cisco (TAC).
62Во втором квартале 2024 года выручка Unity снизилась на 2% и составила 358 миллионов фунтов стерлингов по сравнению с 366 миллионами фунтов стерлингов в предыдущем квартале.
37Более трети респондентов опроса разработчиков Stack Overflow 2024 рассказали о своих зарплатах, и выяснилось, что средняя зарплата разработчиков снизилась примерно на 10 тысяч долларов США. Еще один тревожный вывод - только 20 % счастливы в своей нынешней роли.
51Компания Hugging Face объединила усилия с NVIDIA, чтобы предоставить возможности анализа как услуги одному из крупнейших в мире сообществ ИИ.
79Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии