DFN-CERT-2015-1018 Cisco TelePresence: Mehrere Schwachstelle ermöglichen das Erlangen von Benutzerrechten [Netzwerk][Cisco]

DFN-CERT-2015-1018 Cisco TelePresence: Mehrere Schwachstelle ermöglichen das Erlangen von Benutzerrechten [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Telepresence ISDN Gateway Software 2.2(1.106)
Telepresence MCU 4500 Serie Software 4.5(1.55)
Cisco TelePresence MSE 8000 Original Release
TelePresence System Software 1.0(1.42)
TelePresence System Software 1.1(1.40)
TelePresence System Software 2.0(3.34)
TelePresence System Software 3.0(1.27)

Betroffene Plattformen:

Cisco TelePresence ISDN Gateway
Cisco TelePresence Advanced Media Gateway Series
Cisco TelePresence IP Gateway Series
Cisco TelePresence IP VCR Series
Cisco Telepresence MCU 4500
Cisco TelePresence MSE 8000
Cisco TelePresence Serial Gateway Series

Mehrere Schwachstellen in verschiedenen Cisco TelePresence Geräten
ermöglichen einem entfernten, nicht authentisierten Angreifer jeweils
Cross-Site Request Forgery (CSRF)-Angriffe gegen Benutzer durchzuführen und
dadurch deren Sitzung zu übernehmen.

Der Hersteller hat bislang keine Sicherheitsupdates zur Behebung dieser
Schwachstellen zur Verfügung gestellt.

CVE-2015-4258: Schwachstelle in Cisco TelePresence MSE 8000 erlaubt
Cross-Site Request Forgery

Eine Cross-Site Request Forgery (CSRF)-Schwachstelle in Cisco TelePresence
MSE 8000 Geräten erlaubt einem entfernten, nicht authentisierten Angreifer
die Anmeldung eines beliebigen Benutzers zu übernehmen.

CVE-2015-4257: Schwachstelle in Cisco TelePresence MCU 4500 erlaubt
Cross-Site Request Forgery

Eine Cross-Site Request Forgery (CSRF)-Schwachstelle in Cisco TelePresence
MCU 4500 Geräten mit Software Version 4.5(1.55) erlaubt einem entfernten,
nicht authentisierten Angreifer die Anmeldung eines beliebigen Benutzers zu
übernehmen.

CVE-2015-4256: Schwachstelle in Cisco TelePresence IP VCR erlaubt Cross-Site
Request Forgery

Eine Cross-Site Request Forgery (CSRF)-Schwachstelle in Cisco TelePresence
IP VCR Geräten mit Software Version 3.0(1.27) erlaubt einem entfernten,
nicht authentisierten Angreifer die Anmeldung eines beliebigen Benutzers zu
übernehmen.

CVE-2015-4255: Schwachstelle in Cisco TelePresence IP Gateway erlaubt
Cross-Site Request Forgery

Eine Cross-Site Request Forgery (CSRF)-Schwachstelle in Cisco TelePresence
IP Gateway Geräten mit Software Version 2.0(3.34) erlaubt einem entfernten,
nicht authentisierten Angreifer die Anmeldung eines beliebigen Benutzers zu
übernehmen.

CVE-2015-4254: Schwachstelle in Cisco TelePresence Advanced Media Gateway
erlaubt Cross-Site Request Forgery

Eine Cross-Site Request Forgery (CSRF)-Schwachstelle in Cisco TelePresence
Advanced Media Gateway Geräten mit Software Version 1.1(1.40) erlaubt einem
entfernten, nicht authentisierten Angreifer die Anmeldung eines beliebigen
Benutzers zu übernehmen.

CVE-2015-4253: Schwachstelle in Cisco TelePresence Serial Gateway erlaubt
Cross-Site Request Forgery

Eine Cross-Site Request Forgery (CSRF)-Schwachstelle in Cisco TelePresence
Serial Gateway Geräten mit Software Version 1.0(1.42) erlaubt einem
entfernten, nicht authentisierten Angreifer die Anmeldung eines beliebigen
Benutzers zu übernehmen.

CVE-2015-4252: Schwachstelle in Cisco TelePresence ISDN Gateway erlaubt
Cross-Site Request Forgery

Eine Cross-Site Request Forgery (CSRF)-Schwachstelle in Cisco TelePresence
ISDN Gateway Geräten mit Software Version 2.2(1.106) erlaubt einem
entfernten, nicht authentisierten Angreifer die Anmeldung eines beliebigen
Benutzers zu übernehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1018/

Cisco Security Alert Cisco-Alert-CVE-2015-4252:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39795

Cisco Security Alert Cisco-Alert-CVE-2015-4253:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39796

Cisco Security Alert Cisco-Alert-CVE-2015-4254:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39797

Cisco Security Alert Cisco-Alert-CVE-2015-4255:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39798

Cisco Security Alert Cisco-Alert-CVE-2015-4256:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39800

Cisco Security Alert Cisco-Alert-CVE-2015-4257:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39801

Cisco Security Alert Cisco-Alert-CVE-2015-4258:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39802

Schwachstelle CVE-2015-4252 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4252

Schwachstelle CVE-2015-4253 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4253

Schwachstelle CVE-2015-4254 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4254

Schwachstelle CVE-2015-4255 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4255

Schwachstelle CVE-2015-4256 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4256

Schwachstelle CVE-2015-4257 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4257

Schwachstelle CVE-2015-4258 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4258

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben