DFN-CERT-2014-1041 Cisco Unified Communications Manager: Zwei Schwachstellen ermöglichen die Ausführung beliebiger Befehle sowie Denial-of-Service-Angriffe [Netzwerk][Cisco]

DFN-CERT-2014-1041 Cisco Unified Communications Manager: Zwei Schwachstellen ermöglichen die Ausführung beliebiger Befehle sowie Denial-of-Service-Angriffe [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Unified Communications Manager

Betroffene Plattformen:

Cisco Unified Communications Manager

Ein entfernter, einfach authentisierter Angreifer kann zwei Schwachstellen
im Cisco Unified Communications Manager zur Ausführung von beliebigem
Programmcode unter den Rechten des Dienstes, sowie zu einem
Denial-of-Service-Angriff ausnutzen.
Für die Schwachstelle CVE-2014-3337 stellt Cisco ein Sicherheitsupdate zur
Verfügung.

Patch:

Cisco Security Notice Cisco-CVE-2014-3337

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3337

CVE-2014-3338: Schwachstelle im Cisco Unified Communications Manager
ermöglicht die Ausführung beliebiger Befehle

Das Modul CTIManager (Computer Telephony Integration) des Cisco Unified
Communications Manager enthält eine Schwachstelle, die mittels Kerberos
“single-sign-on token” (SSO) gelieferte Daten unzureichend überprüft. Ein
entfernter, einfach authentisierter Angreifer kann die Schwachstelle dazu
ausnutzen, um beliebigen Programmcode unter erweiterten Rechte auszuführen.

CVE-2014-3337: Schwachstelle im Cisco Unified Communications Manager
ermöglicht Denial-of-Service

Die Implementierung des Session Initiation Protocol (SIP) im Cisco Unified
Communications Manager enthält eine Schwachstelle, die auf einer
fehlerhaften Überprüfung von XML-Elementen beruht. Ein entfernter, einfach
authentisierter Angreifer kann die Schwachstelle unter Verwendung von
veränderten SIP-Meldungen zu einem Denial-of-Service-Angriff ausnutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1041/

Cisco Security Notice Cisco-CVE-2014-3337:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3337

Cisco Security Notice Cisco-CVE-2014-3338:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3338

Schwachstelle CVE-2014-3337 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3337

Schwachstelle CVE-2014-3338 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3338

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben