DFN-CERT-2016-0198 Cisco Finesse Desktop, Cisco Unified Contact Center Express: Eine Schwachstelle ermöglicht das Erlangen von Benutzerrechten [Netzwerk][Cisco]

DFN-CERT-2016-0198 Cisco Finesse Desktop, Cisco Unified Contact Center Express: Eine Schwachstelle ermöglicht das Erlangen von Benutzerrechten [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Finesse 10.5(1) Desktop
Cisco Finesse 11.0(1) Desktop
Unified Contact Center Express 10.6(1)

Betroffene Plattformen:

Cisco Finesse
Unified Contact Center Express

Ein entfernter, nicht authentifizierter Angreifer kann über ein
unveränderliches Standardbenutzerkonto Benutzerrechte erlangen und dadurch
Dateien lesen und manipulieren.

Cisco bestätigt die Schwachstelle für die Cisco Finesse Desktop Releases
10.5(1) und 11.0(1) sowie Cisco Unified Contact Center Express Release
10.6(1) und stellt Sicherheitsupdates zur Verfügung.

Patch:

Cisco Security Advisory cisco-sa-20160202-fducce (CVE-2016-1307)

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160202-fducce

CVE-2016-1307: Schwachstelle in Cisco Finesse Desktop und Cisco Unified
Contact Center Express ermöglicht Erlangen von Benutzerrechten

Es existiert ein voreingestelltes Standardbenutzerkonto im Openfire-Server,
der gemeinsam mit den Produkten Finesse Desktop und Unified Contact Center
Express ausgeliefert wird. Dieser Standardbenutzer wird bei der
Erstinstallation erstellt und hat ein unveränderliches Passwort. Ein
Angreifer kann diese Schwachstelle ausnutzen, indem er sich mit den
bekannten Zugangsdaten über das Extensible Messaging and Presence Protocol
(XMPP) auf dem Openfire-Server einloggt. Er erhält Zugang zum Server und ist
damit in der Lage, Dateien einzusehen und zu verändern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0198/

Cisco Security Advisory cisco-sa-20160202-fducce (CVE-2016-1307):
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160202-fducce

Schwachstelle CVE-2016-1307 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1307

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben