Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Unified Computing System 1.5(3)
Cisco Unified Computing System 1.6(0.16)

Betroffene Plattformen:

Cisco Unified Computing System C-Series Servers

Eine Schwachstelle erlaubt einem entfernten, nicht authentisierten Angreifer
Sicherheitsmaßnahmen zu umgehen und in der Folge Informationen abzufangen,
zu entschlüsseln, zu lesen und zu schreiben. Cisco hat die Verwundbarkeit
gegenüber der Schwachstelle für Cisco UCS Releases 1.5(3) und 1.6(0.16)
bestätigt. Spätere Versionen könnten ebenfalls verwundbar sein. Es stehen
aber bislang noch keine Sicherheitsupdates zur Verfügung.

CVE-2015-4259: Schwachstelle in Cisco Unified Computing System C-Series
Servers erlaubt Umgehen von Sicherheitsvorkehrungen

Eine Schwachstelle im Cisco Integrated Management Controller des Cisco
Unified Computing System (UCS) C-Series Servers besteht aufgrund einer
fehlerhaften Prüfung von SSL-Zertifikaten, die zur Verwaltung des Systems
verwendet werden. Ein Angreifer kann, indem er das voreingestellte
SSL-Zertifikat verwendet, Man-in-the-Middle (MitM)-Angriffe gegen ein
betroffenes Gerät durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1023/

Cisco Security Alert Cisco-Alert-CVE-2015-4259:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39803

Schwachstelle CVE-2015-4259 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4259

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.