Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Prime Infrastructure 1.2.0.103
Cisco Prime Infrastructure 2.0.0

Betroffene Plattformen:

Cisco Prime Infrastructure

Eine Schwachstelle ermöglicht einem entfernten, nicht authentifizierten
Angreifer Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen, wodurch
Aktionen im Kontext des angemeldeten Benutzers ausgeführt werden können.

Cisco bestätigt die Schwachstelle für die Releases Cisco Prime
Infrastructure 1.2.0.103 sowie 2.0.0 und stellt entsprechende
Sicherheitsupdates zur Verfügung. Außerdem räumt Cisco ein, dass auch
spätere Versionen von der Schwachstelle betroffen sein können.

Patch:

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-6262

http://tools.cisco.com/security/center/viewAlert.x?alertId=40652

CVE-2015-6262: Schwachstelle in Cisco Prime Infrastructure ermöglicht
Cross-Site-Request-Forgery

In Cisco Prime Infrastructure besteht eine Schwachstelle, die auf einem
unzureichenden Schutz vor Cross-Site-Request-Forgery(CSRF)-Angriffen beruht.
Ein Angreifer, der in der Lage ist, den Benutzer eines betroffenen Systems
zur Verwendung eines bösartigen Links oder zum Besuch einer unter seiner
Kontrolle stehenden Webseite zu verleiten, kann die Schwachstelle ausnutzen,
um unautorisierte Aktionen mit den Rechten des angemeldeten Benutzers
durchzuführen und so weitere Angriffe vorzubereiten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1311/

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-6262:
http://tools.cisco.com/security/center/viewAlert.x?alertId=40652

Schwachstelle CVE-2015-6262 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6262

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.