Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (01.03.2016):
Cisco stellt erneut aktualisierte Informationen bezüglich der verwundbaren
Softwareversionen zur Verfügung und nennt nun das Cisco UCS Manager
Release 2.2(6a) anstelle des Releases 2.2(6e) als korrigierte Versionen.
Version 3 (28.01.2016):
Cisco stellt erneut aktualisierte Informationen bezüglich der verwundbaren
Softwareversionen zur Verfügung. Die Schwachstelle wurde in der Version
2.2.0 des Cisco UCS Managers eingeführt. 2.2.x Versionen der Software sind
dann verwundbar, wenn sie älter als das korrespondierende erste
korrigierte Release sind. Die Softwareversion 2.1.x und frühere sind nicht
betroffen. Zusätzlich zu den bereits genannten, korrigierten Versionen
stellt Cisco die Cisco UCS Manager Releases 2.2(6e) und 3.1(e) bereit.
Version 2 (25.01.2016):
Cisco aktualisiert die referenzierte Sicherheitsmeldung, um darüber zu
informieren, dass die Schwachstelle in der Version 2.2.0 des Cisco UCS
Managers eingeführt wurde und damit frühere Versionen nicht verwundbar
sind.
Version 1 (20.01.2016):
Neues Advisory
Betroffene Software:
Cisco Unified Computing System Software > 2.1.x
Cisco Unified Computing System Software < 2.2(4b)
Cisco Unified Computing System Software < 2.2(5a)
Cisco Unified Computing System Software < 2.2(6a)
Cisco Unified Computing System Software < 3.0(2e)
Cisco Unified Computing System Software < 3.1(e)
Cisco Firepower 9000 Series < 1.1.2
Betroffene Plattformen:
Cisco Unified Computing System Manager
Cisco Firepower 9000 Series
Eine Schwachstelle erlaubt einem entfernten, nicht authentisierten Angreifer
durch das Senden präparierter HTTP Requests beliebige Kommandos zur
Ausführung bringen.
Cisco bestätigt diese Schwachstelle für alle Versionen des Cisco UCS
Managers vor 2.2(4b), 2.2(5a) und 3.0(2e) sowie FX-OS für Firepower 9000
Series vor Version 1.1.2, welche als Sicherheitsupdates zur Verfügung
stehen.
Patch:
Cisco Security Advisory cisco-sa-20160120-ucsm (CVE-2015-6435)
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160120-ucsm
CVE-2015-6435: Schwachstelle im Cisco Unified Computing System Manager und
Cisco Firepower 9000 ermöglicht das Ausführen beliebigen Programmcodes
In einem CGI Skript im Cisco Unified Computing System (UCS) Manager und der
Cisco Firepower 9000 Series Appliance existiert eine Schwachstelle aufgrund
des ungeschützten Aufrufs von Shell Kommandos in dem CGI Skript. Ein
Angreifer kann diese Schwachstelle ausnutzen, indem er präparierte HTTP
Requests an den Cisco UCS Manager bzw. die Cisco Firepower 9000 Series
Appliance sendet, und dadurch beliebige Kommandos auf denselben ausführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0111/
Cisco Security Advisory cisco-sa-20160120-ucsm (CVE-2015-6435):
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160120-ucsm
Schwachstelle CVE-2015-6435 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6435
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
