DFN-CERT-2017-0468 Cisco WebEx Meetings Server: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen und Ausspähen von Informationen [VMware][Netzwerk][Cisco]

DFN-CERT-2017-0468 Cisco WebEx Meetings Server: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen und Ausspähen von Informationen [VMware][Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco WebEx Meetings Server 2.5
Cisco WebEx Meetings Server <= 2.6 Cisco WebEx Meetings Server 2.7 Betroffene Plattformen: Cisco Unified Computing System B-Series Blade Servers Cisco Unified Computing System C-Series Servers VMware ESXi VMware vSphere Ein Schwachstelle erlaubt einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen und in der Folge das Ausspähen von Benutzerdaten (CVE-2017-3880). Eine weitere Schwachstelle erlaubt einem entfernten, einfach authentifizierten Angreifer das Ausspähen von Systeminformationen (CVE-2017-3811). Von der Schwachstelle CVE-2017-3880 sind die Cisco WebEx Meetings Server Versionen 2.7, 2.6 und 2.5 betroffen, ein Sicherheitsupdate steht derzeit nicht zur Verfügung. Von der Schwachstelle CVE-2017-3811 sind die Cisco WebEx Meetings Server Version 2.6 und alle vorhergehenden Versionen betroffen. Ein Sicherheitsupdate steht im Form der Version 2.7.1.2054 bereit. Cisco aktualisiert die referenzierten Cisco Bug IDs, sobald weitere Sicherheitsupdates zur Verfügung stehen. Patch: Cisco Security Advisory cisco-sa-20170315-wms https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-wms

CVE-2017-3880: Schwachstelle im Cisco WebEx Meetings Server erlaubt Umgehen
von Sicherheitsvorkehrungen

Eine Schwachstelle im Cisco WebEx Meetings Server besteht aufgrund der
Existenz von überholtem Programmcode im Cisco WebEx Meetings Server. Ein
entfernter, nicht authentifizierter Angreifer kann mittels des veralteten
Programmcodes vortäuschen, ein legitimer Benutzer zu sein, um Zugriff auf
das System zu erhalten und damit Daten des Benutzers auf dem Server
ausspähen.

CVE-2017-3811: Schwachstelle im Cisco WebEx Meetings Server erlaubt
Ausspähen von Informationen

Eine Schwachstelle im Cisco WebEx Meetings Server bis Version 2.6 besteht
aufgrund des fehlerhaften Umgangs mit externen XML-Objekten (XML External
Entity, XXE) beim Parsen einer XML-Datei. Ein entfernter, einfach
authentifizierter Angreifer kann die Schwachstelle durch das Senden einer
manipulierten XML-Datei an das betroffene System ausnutzen, um Informationen
des betroffenen Systems auszuspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0468/

Cisco Security Advisory cisco-sa-20170315-wms:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-wms

Cisco Security Advisory cisco-sa-20170315-webex:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-webex

Schwachstelle CVE-2017-3811 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3811

Schwachstelle CVE-2017-3880 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3880

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben