ಸಿಸ್ಕೊ ಸ್ಮಾಲ್ ಬ್ಯುಸಿನೆಸ್ ಸರಣಿಯ ಸ್ವಿಚ್ಗಳಲ್ಲಿ ನಾಲ್ಕು ದುರ್ಬಲತೆಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ, ಅದು ದೃಢೀಕರಣವಿಲ್ಲದೆ ರಿಮೋಟ್ ಆಕ್ರಮಣಕಾರರಿಗೆ ರೂಟ್ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಸಾಧನಕ್ಕೆ ಪೂರ್ಣ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ಸಮಸ್ಯೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಲು, ಆಕ್ರಮಣಕಾರರು ವೆಬ್ ಇಂಟರ್ಫೇಸ್ ಒದಗಿಸುವ ನೆಟ್ವರ್ಕ್ ಪೋರ್ಟ್ಗೆ ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ. ಸಮಸ್ಯೆಗಳಿಗೆ ಅಪಾಯದ ನಿರ್ಣಾಯಕ ಮಟ್ಟವನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ (4 ರಲ್ಲಿ 9.8). ಕೆಲಸದ ಶೋಷಣೆಯ ಮೂಲಮಾದರಿಯು ಲಭ್ಯವಿದೆ ಎಂದು ವರದಿಯಾಗಿದೆ.
ಗುರುತಿಸಲಾದ ದೋಷಗಳು (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20189) ಪೂರ್ವ ದೃಢೀಕರಣ ಹಂತದಲ್ಲಿ ಲಭ್ಯವಿರುವ ವಿವಿಧ ಹ್ಯಾಂಡ್ಲರ್ಗಳಲ್ಲಿ ಮೆಮೊರಿಯೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ ದೋಷಗಳಿಂದ ಉಂಟಾಗುತ್ತವೆ. ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಬಾಹ್ಯ ಡೇಟಾವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ದುರ್ಬಲತೆಗಳು ಬಫರ್ ಓವರ್ಫ್ಲೋಗೆ ಕಾರಣವಾಗುತ್ತವೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಸಿಸ್ಕೋ ಸಣ್ಣ ವ್ಯಾಪಾರ ಸರಣಿಯಲ್ಲಿ ನಾಲ್ಕು ಕಡಿಮೆ ಅಪಾಯಕಾರಿ ದೋಷಗಳನ್ನು (CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158) ಗುರುತಿಸಲಾಗಿದೆ, ಇದು ಸೇವೆಯ ರಿಮೋಟ್ ನಿರಾಕರಣೆಗೆ ಅವಕಾಶ ನೀಡುತ್ತದೆ ದುರ್ಬಲತೆ (CVE-2023-20162), ಇದು ದೃಢೀಕರಣವಿಲ್ಲದೆ ಸಾಧನ ಕಾನ್ಫಿಗರೇಶನ್ ಮಾಹಿತಿಯನ್ನು ಪಡೆಯಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ.
ದೋಷಗಳು Smart Switch 250, 350, 350X, 550X, Business 250 ಮತ್ತು Business 350 ಸರಣಿಗಳು, ಹಾಗೆಯೇ ಸಣ್ಣ ವ್ಯಾಪಾರ 200, 300 ಮತ್ತು 500 ಸರಣಿಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತವೆ. 220 ಮತ್ತು Business 220 ಸರಣಿಗಳು ದುರ್ಬಲತೆಯಿಂದ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ. ಫರ್ಮ್ವೇರ್ ನವೀಕರಣಗಳು 2.5.9.16 ಮತ್ತು 3.3.0.16 ರಲ್ಲಿ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ. ಸಣ್ಣ ವ್ಯಾಪಾರ 200, 300 ಮತ್ತು 500 ಸರಣಿಗಳಿಗೆ, ಫರ್ಮ್ವೇರ್ ನವೀಕರಣಗಳನ್ನು ರಚಿಸಲಾಗುವುದಿಲ್ಲ, ಏಕೆಂದರೆ ಈ ಮಾದರಿಗಳ ಜೀವನ ಚಕ್ರವು ಈಗಾಗಲೇ ಪೂರ್ಣಗೊಂಡಿದೆ.
ಮೂಲ: opennet.ru