Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

AsyncOS

Betroffene Plattformen:

Cisco Content Security Management Appliance 9.1.0-033
Cisco Email Security Appliance 8.5.6-113
Cisco Email Security Appliance 9.1.0-032
Cisco Email Security Appliance 9.1.1-000
Cisco Email Security Appliance 9.6.0-000
Cisco Web Security Appliance 9.0.0-193

Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
nutzen, um einen Cross-Site-Scripting-Angriff durchzuführen.
Cisco bestätigt die Schwachstelle, stellt derzeit aber noch keine
Sicherheitsupdates zur Verfügung und räum,t ein, dass eventuell auch spätere
Versionen der aufgelisteten Produkte verwundbar sind.

CVE-2015-0732: Schwachstelle in Cisco AsyncOS erlaubt
Cross-Site-Scripting-Angriff

Aufgrund einer ungenügenden Gültigkeitsprüfung von Eingabeparametern in der
Web-Management-Oberfläche mehrerer Cisco Produkte, ist es möglich, Benutzern
bösartige Links unterzuschieben und darüber einen
Cross-Site-Scripting-Angriff (XSS) durchzuführen. Ein Angreifer kann so
beliebigen Programmcode im Seitenkontext ausführen oder Browser-basierte
Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1148/

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-0732:
http://tools.cisco.com/security/center/viewAlert.x?alertId=40172

Schwachstelle CVE-2015-0732 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0732

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.