Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
TelePresence System Software
Betroffene Plattformen:
Cisco Telepresence MCU MSE Serie Software
Cisco TelePresence Server Software Virtual TelePresence Server Software
Cisco Telepresence VX Clinical Assistant
Cisco TelePresence ISDN Gateway
Cisco TelePresence Advanced Media Gateway Series
Cisco TelePresence Integrator C
Cisco TelePresence IP Gateway Series
Cisco TelePresence IP VCR Series
Cisco Telepresence MCU 4200
Cisco Telepresence MCU 4500
Cisco Telepresence MCU 5300
Cisco TelePresence MX
Cisco TelePresence Profiles
Cisco TelePresence Quick Set
Cisco TelePresence Serial Gateway Series
Cisco Telepresence Server 7010
Cisco Telepresence Server MSE 8710
Cisco TelePresence Server on Multiparty
Cisco Telepresence System EX Series
Cisco TelePresence System T
Mehrere Schwachstellen in der Cisco TelePresence Software ermöglichen es
einem entfernten, einfach authentifizierten Angreifer Administrationsrechte
zu erlangen und einem nicht authentifizierten, im benachbarten Netzwerk
befindlichen Angreifer Administratorrechte zu erlangen. Ein entfernter,
nicht authentifizierter Angreifer kann Denial-of-Service-Angriffe
durchführen.
Patch:
Cisco Security Advisory cisco-sa-20150513-tc
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150513-tc
Patch:
Cisco Security Advisory cisco-sa-20150513-tp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150513-tp
CVE-2015-0722: Eine Schwachstelle ermöglicht Denial-of-Service-Angriffe
Es besteht eine Schwachstelle in der Cisco TelePresence TC- und TE Software,
die auf der unzureichenden Implementierung einer Überprüfung von Datenmengen
beruht. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle ausnutzen und mit Hilfe von veränderten IP-Paketen einen
Neustart des Systems auslösen.
CVE-2015-0713: Eine Schwachstelle ermöglicht die Ausführung von beliebigem
Code mit Adminstratorrechten
Verschiedene Cisco TelePresence Produkte enthalten eine Schwachstelle, die
Benutzereingaben auf der Administrationsoberfläche unzureichend überprüft.
Ein entfernter, einfach authentisierter Angreifer kann die Schwachstelle mit
Hilfe von speziell veränderten Eingaben dazu ausnutzen, um beliebigen
Programmcode mit Administratorrechten zur Ausführung zu bringen.
CVE-2014-2174: Eine Schwachstelle ermöglicht des Erlangen von
Administratorrechten
Es besteht eine Schwachstelle in der Cisco TelePresence TC- und TE Software,
die unzureichend Authentifizierung und Berechtigung interner Dienste
überprüft. Ein nicht authentifizierter, im benachbarten Netzwerk
befindlicher Angreifer kann die Schachstelle dazu ausnutzen, um
Authentifizierungen zu umgehen und Administratorrechte zu erlangen
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0714/
Cisco Security Advisory cisco-sa-20150513-tc:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150513-tc
Cisco Security Advisory cisco-sa-20150513-tp:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150513-tp
Schwachstelle CVE-2014-2174 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2174
Schwachstelle CVE-2015-0713 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0713
Schwachstelle CVE-2015-0722 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0722
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
