Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Cisco Jabber 10.5(2) Windows
Cisco Jabber 11.8(0) Windows
Cisco Jabber 11.8(1) Windows
Cisco Jabber 11.8(2) Windows
Cisco Jabber 11.8(3) Windows
Cisco Jabber 11.9(0) Windows
Cisco Jabber < 11.9(0.54450) Windows
Cisco Jabber 11.9(1) Windows
Cisco Jabber < 11.9(2.57651) Windows
Betroffene Plattformen:
Apple iOS
Apple macOS
Google Android Operating System
Microsoft Windows
Ein entfernter, nicht bzw. einfach authentisierter Angreifer kann zwei
Schwachstellen (CVE-2017-12356, CVE-2017-12358) im Web-basierten
Management-Interface von Cisco Jabber for Windows, Mac, Android und iOS
ausnutzen, wenn es ihm gelingt einen Benutzer desselben zu verleiten auf
einen präparierten Link zu klicken, um beliebigen Skript-Code im Kontext des
Management-Interfaces auszuführen und dadurch sensitive Informationen aus
dem Browser des Benutzers auszuspähen. Ein lokaler, nicht authentisierter
Angreifer kann eine Schwachstelle (CVE-2017-12361) in Cisco Jabber for
Windows ausnutzen, um die vertrauliche Kommunikation zwischen Windows
Clients zu entschlüsseln und dadurch Informationen auszuspähen, welche für
weitere Angriffe verwendet werden können.
Cisco bestätigt die Schwachstellen CVE-2017-12356 und CVE-2017-12358 für
Cisco Jabber for Windows, Mac, Android und iOS, führt unter 'Known Affected
Releases' 10.5(2), 11.9(1) bzw. 11.9(0) auf und benennt für CVE-2017-12356
die Version 11.9(2.57651) unter 'Known Fixed Releases' (siehe referenzierte
Cisco Bug ID CSCvg56018). Für die Schwachstelle CVE-2017-12361 werden die
Cisco Jabber for Windows Releases 11.8(0), 11.8(1), 11.8(2) und 11.8(3)
unter 'Known Affected Releases' aufgeführt und die Version 11.9(0.54450)
unter 'Known Fixed Releases' (siehe referenzierte Cisco Bug ID CSCve44806).
Alle Bug IDs haben den Status 'Fixed'.
Patch:
Cisco Security Advisory cisco-sa-20171129-jabber (CVE-2017-12356)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-jabber
Patch:
Cisco Security Advisory cisco-sa-20171129-jabber1 (CVE-2017-12358)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-jabber1
Patch:
Cisco Security Advisory cisco-sa-20171129-jabber2 (CVE-2017-12361)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-jabber2
CVE-2017-12361: Schwachstelle in Cisco Jabber ermöglicht Ausspähen von
Informationen
In Cisco Jabber for Windows existiert eine Schwachstelle aufgrund der Art
und Weise wie Cisco Jabber die Erzeugung von Zufallszahlen für Dateiordner
handhabt. Ein lokaler, nicht authentisierter Angreifer kann die
Schwachstelle ausnutzen, indem er die Zufallszahlendaten zur Etablierung
einer Secure Sockets Layer (SSL)-Verbindung zwischen Clients fixiert,
wodurch es ihm möglich ist die verschlüsselte Kommunikation zwischen Cisco
Jabber for Windows Clients zu entschlüsseln und dadurch Informationen
auszuspähen, welche für weitere Angriffe verwendet werden können. Cisco Bug
ID: CSCve44806.
CVE-2017-12358: Schwachstelle in Cisco Jabber ermöglicht
Cross-Site-Scripting-Angriff
Im Web-basierten Management-Interface von Cisco Jabber for Windows, Mac,
Android und iOS existiert eine Cross-Site-Scripting (XSS)-Schwachstelle
aufgrund unzureichender Validierung der von Benutzern bereitgestellten
Eingaben. Ein entfernter, einfach authentisierter Angreifer kann diese
Schwachstelle ausnutzen, indem er einen Benutzer des Web-basierten
Management-Interfaces dazu verleitet auf einen schädlichen Link zu klicken,
um beliebigen Skript-Code im Kontext des Management-Interfaces auszuführen
und dadurch sensitive Informationen aus dem Browser des Benutzers
auszuspähen. Cisco Bug IDs: CSCvf79080, CSCvf79088.
CVE-2017-12356: Schwachstelle in Cisco Jabber ermöglicht
Cross-Site-Scripting-Angriff
Im Web-basierten Management-Interface von Cisco Jabber for Windows, Mac,
Android und iOS existiert eine Cross-Site-Scripting (XSS)-Schwachstelle
aufgrund unzureichender Validierung der von Benutzern bereitgestellten
Eingaben. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, indem er einen Benutzer des Web-basierten
Management-Interfaces dazu verleitet auf einen präparierten Link zu klicken,
um beliebigen Skript-Code im Kontext des Management-Interfaces auszuführen
und dadurch sensitive Informationen aus dem Browser des Benutzers
auszuspähen. Cisco Bug IDs: CSCvf50378, CSCvg56018.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2167/
Cisco Security Advisory cisco-sa-20171129-jabber (CVE-2017-12356):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-jabber
Cisco Security Advisory cisco-sa-20171129-jabber1 (CVE-2017-12358):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-jabber1
Cisco Security Advisory cisco-sa-20171129-jabber2 (CVE-2017-12361):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-jabber2
Schwachstelle CVE-2017-12356 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12356
Schwachstelle CVE-2017-12358 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12358
Schwachstelle CVE-2017-12361 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12361
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
