DFN-CERT-2015-1048 Cisco Unified Communications Manager: Zwei Schwachstellen ermöglichen Cross-Site-Scripting- und Denial-of-Service-Angriffe [Netzwerk][Cisco]

DFN-CERT-2015-1048 Cisco Unified Communications Manager: Zwei Schwachstellen ermöglichen Cross-Site-Scripting- und Denial-of-Service-Angriffe [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Unified Communications Manager 10.5(1.99995.9)
Cisco Unified Communications Manager 10.5(2.10000.5)

Betroffene Plattformen:

Cisco Unified Communications Manager

Durch eine der Schwachstellen kann ein entfernter, nicht authentisierter
Angreifer Cross-Site-Scripting (XSS)-Angriffe und durch die andere ein
entfernter, einfach authentifizierter Angreifer Denial-of-Service-Angriffe
durchführen.
Die Schwachstellen beziehen sich auf unterschiedliche Versionen des Unified
Communications Managers.
Zur Behebung der Schwachstelle CVE-2015-4272 in Version 10.5(2.10000.5)
stehen Sicherheitsupdates zur Verfügung, die Schwachstelle CVE-2015-4269 in
Version 10.5(1.99995.9) wird noch nicht behoben.

Patch:

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4272

http://tools.cisco.com/security/center/viewAlert.x?alertId=39905

CVE-2015-4272: Schwachstelle in Cisco Unified Communications Manager
ermöglicht Cross-Site-Scripting

Der Cisco Unified Communications Manager enthält eine Schwachstelle im
ccmivr (CallManager), die ihre Ursache in einer unzureichenden Überprüfung
von variablen Parametern hat. Ein entfernter, nicht authentisierter
Angreifer kann mit Hilfe einer von ihm kontrollierten URL, Programmcode im
Browser des Anwenders mit den Rechten des Dienstes zur Ausführung bringen.

CVE-2015-4269: Schwachstelle in Cisco Unified Communications Manager
ermöglicht Denial-of-Service-Angriff

Der Tomcat des Cisco Unified Communications Managers enthält eine
Schwachstelle, die es einem entfernten, einfach authentisierten Angreifer
ermöglicht, eine zu große Anzahl von authentisierten Anfragen an den Manager
zu senden und ihn so in einen Denial-of-Service-Zustand zu versetzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1048/

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4272:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39905

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4269:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39877

Schwachstelle CVE-2015-4269 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4269

Schwachstelle CVE-2015-4272 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4272

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben