مجموعهای از آسیبپذیریها که قبلا در اجرای پشته Treck IP ناشناخته بودند، در تاریخ 16 ژوییه 2020 فاش شد. این چند آسیبپذیری در پشته Treck IP به طور مشترک با نام آسیبپذیری Ripple20 شناخته میشوند. سوءاستفاده از این آسیبپذیریها بسته به نوع آسیبپذیری، میتواند منجر به اجرای کد از راه دور، انکار سرویس یا DoS و افشای اطلاعات شود.
چه محصولاتی در خطر هستند
شرکت سیسکو با بررسی خط تولید خود مشخص کرد که کدام محصولات ممکن است تحت تاثیر آسیبپذیری Ripple20 قرار بگیرند.
بخش محصولات آسیبپذیر در این اطلاعیه شامل Bug IDهای سیسکو برای هر محصولِ تحت تاثیر میباشد. این Bugها از طریق Cisco Bug Search Tool قابل دسترسی هستند و حاوی اطلاعات جدیدِ مخصوص پلتفرم، از جمله راهکار (در صورت وجود) و نسخههای نرمافزاری تثبیتشده هستند. هر محصولی که در بخش محصولات آسیبپذیر این اطلاعیه ذکر نشده، آسیبپذیر تلقی نمیشود.
محصولات آسیبپذیر در برابر آسیبپذیری Ripple20
در جدول زیر نام محصولات آسیبپذیر سیسکو در برابر آسیبپذیری Ripple20 که در این اطلاعیه توصیف میشوند، آمده است،. تاریخ مشخصشده برای انتشار نرمافزار در آینده، برآوردی بر اساس کلیهی اطلاعات موجود سیسکو با توجه به آخرین تاریخ بروزرسانی است که در ابتدای اطلاعیه ذکر شد. تاریخ انتشار محصولات بر اساس چندین عامل، از جمله نتایج رضایتبخش آزمایشها و برآورده شدن سایر ویژگیهای الویتبندی و از پیش تعیین شده، قابل تغییر است. اگر هیچ نسخه یا تاریخی برای محصولات تحت تاثیر ذکر نشده باشد، سیسکو همچنان به ارزیابی اصلاح ادامه میدهد و با دسترسی به اطلاعات جدید، این اطلاعیه را به روز میکند. بعد از اینکه اطلاعیه نهایی شد، مشتریان برای اطلاع از جزییات بیشتر باید به Cisco Bug مراجعه کنند. مگر در مواردی که اطلاعات مستند باشند، تمام نسخههای نرمافزاری قبل از اولین نسخهی نهایی شده، تحت تاثیر آسیبپذیری Ripple20 هستند.
|
Product |
Cisco Bug ID |
Fixed Release Availability |
|
Routing and Switching – Enterprise and Service Provider |
||
|
Cisco ASR 5000 |
TBD (Aug 2020) |
|
|
Cisco ASR 5500 |
TBD (Aug 2020) |
|
|
Cisco Virtual Packet Core |
TBD (Aug 2020) |
|
تمام عملکردهای پشتیبانی شده توسط محصولات مبتنی بر StarOS که در جدول بالا آمدهاند، تحت تاثیر این آسیبپذیریها قرار دارند..
محصولاتی که عدم آسیبپذیری آنها تایید شده
تنها محصولات و خدماتی که در این اطلاعیه نامشان در قسمت محصولات آسیبپذیر ذکر شده، به عنوان محصولات تحت تاثیر این آسیبپذیریها معرفی شدهاند.
راهکارها
هر راهکاری در قسمت Bugهای مربوط به محصولات سیسکو که در بخش محصولات آسیبپذیر این اطلاعیه مشخص شده اند، ثبت خواهد شد.
نرمافزارهای اصلاح شده
در هنگام بررسی نسخههای نرمافزاری، به مشتریان توصیه میشود برای تعیین زمان ارائه محصول و راهکار کامل ارتقاء، به طور مرتب با مشاوران محصولات Cisco که در صفحه Cisco Security Advisories در دسترس هستند، مشورت کنند.
مشتریان همیشه باید اطمینان حاصل کنند که دستگاههای بروزرسانی شده دارای حافظهی کافی هستند و تایید میکنند که پیکربندیهای سختافزاری و نرمافزاری فعلی همچنان با نسحههای جدید به طور مناسب پشتیبانی میشوند. اگر اطلاع رسانی شفاف نباشد، به مشتریان توصیه میشود با Cisco Technical Assistance Center یا به طور خلاصه TAC یا با شرکتهای ارائه دهندهی تعمیرات و نگهداری مد نظر خود تماس بگیرند.
