Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Unified MeetingPlace Web Conferencing 8.5
Unified MeetingPlace Web Conferencing 8.6

Betroffene Plattformen:

Unified MeetingPlace Web Conferencing

Eine Schwachstelle in Cisco Unified MeetingPlace erlaubt einem entfernten,
nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und
darüber die komplette Kompromittierung des Systems.
Als Sicherheitsupdates stellt Cisco die Versionen 8.5(5) MR3 und 8.6(2) zur
Verfügung.

Patch:

Cisco Security Advisory cisco-sa-20150722-mp

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150722-mp/

CVE-2015-4262: Schwachstelle in Cisco Unified MeetingPlace erlaubt das
Umgehen von Sicherheitsvorkehrungen

Eine Schwachstelle in der Passwortänderungsfunktion in Cisco Unified
MeetingPlace erlaubt einem entfernten, nicht authentisierten Angreifer,
Passwörter beliebiger Benutzer zu ändern. Der Grund für diese Schwachstelle
ist, dass beim Wechsel nicht das aktuelle Passwort des Benutzers abgefragt
wird und zusätzlich die Session-ID der HTTP-Sitzung nicht überprüft wird.
Ein Angreifer kann diese Schwachstelle ausnutzen und mit einem speziell
angefertigten HTTP-Request, die Passwörter beliebiger Benutzer ändern und
die Kontrolle über die Applikation komplett übernehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1118/

Cisco Security Advisory cisco-sa-20150722-mp:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150722-mp/

Schwachstelle CVE-2015-4262 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4262

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.