Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Unified Computing System Central Software 1.4(1a)

Betroffene Plattformen:

Cisco Unified Computing System Central Software

Eine Schwachstelle in der Cisco Unified Computing System (UCS) Central
Software ermöglicht einem entfernten, nicht authentifizierten Angreifer
Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Der Hersteller Cisco informiert darüber, dass ausschließlich die Version
1.4(1a) betroffen ist, und stellt ein Sicherheitsupdate zur Verfügung.

Patch:

Cisco Security Advisory cisco-sa-20160517-ucs

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160517-ucs

CVE-2016-1401: Schwachstelle in Cisco Unified Computing System (UCS) Central
Software ermöglicht Cross-Site-Scripting-Angriffe

Im HTTP web-basierten Management Interface der Cisco Unified Computing
System (UCS) Central Software existiert eine Cross-Site-Scripting
(XSS)-Schwachstelle. Die Schwachstelle basiert auf der unzureichenden
Überprüfung von Benutzereingaben. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu
verleitet einen speziell präparierten Link anzuklicken, um beliebige
Anfragen über den Webbrowser des Benutzers und mit dessen Privilegien an das
betroffene System zu senden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0794/

Cisco Security Advisory cisco-sa-20160517-ucs:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160517-ucs

Schwachstelle CVE-2016-1401 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1401

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.