Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco IP Phone SPA30X Series
Cisco IP Phone SPA50X Series
Cisco IP Phone SPA51X Series

Betroffene Plattformen:

Cisco IP Phone

Durch Ausnutzen einer Schwachstelle in mehreren Cisco IP Phones kann ein
lokaler, nicht authentisierter Angreifer beliebige Firmware Images auf die
betroffenen Geräte laden und somit die Integrität derselben komplett
beeinträchtigen.

Cisco bestätigt diese Schwachstelle für Cisco SPA30X Series IP Phones, Cisco
SPA50X Series IP Phones und Cisco SPA51X Series IP Phones und stellt
Sicherheitsupdates zur Verfügung.

Patch:

Cisco Security Advisory cisco-sa-20151209-ipp

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-ipp

CVE-2015-6403: Schwachstelle in Cisco IP Phones erlaubt Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in der TFTP-Implementierung von Cisco Small Business
SPA30X und SPA50X IP Phones existiert aufgrund unzureichender
Integritätsprüfungen von Firmware Images. Ein Angreifer kann diese
Schwachstelle ausnutzen, wenn er Zugriff auf die lokale Shell eines
betroffenen Gerätes erlangen kann, und beliebige Firmware Images auf dieses
laden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1912/

Cisco Security Advisory cisco-sa-20151209-ipp:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-ipp

Schwachstelle CVE-2015-6403 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6403

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.