DFN-CERT-2017-0779 Cisco Finesse for Cisco Unified Contact Center Enterprise: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Netzwerk][Cisco]

DFN-CERT-2017-0779 Cisco Finesse for Cisco Unified Contact Center Enterprise: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Finesse 11.5(1)
Cisco Finesse 11.6(1)

Betroffene Plattformen:

Cisco Unified Contact Center Enterprise

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle im
Cisco Finesse Notification Service for Cisco Unified Contact Center
Enterprise (UCCE) ausnutzen, indem er hart kodierte Credentials verwendet,
um sich für den Finesse Notification Service einzuschreiben. Dadurch erhält
er Benachrichtigungen, wenn ein Agent sich am Finesse Desktop an- und
abmeldet, wenn sich Informationen über einen Agenten ändern oder wenn sich
der Status desselben ändert. Der Angreifer kann somit Informationen
ausspähen.

Cisco bestätigt die Schwachstelle für Cisco Finesse for Cisco Unified
Contact Center Enterprise (UCCE) und verweist für Information zu betroffenen
Software-Releases auf die Cisco Bug ID(s) oben in der Sicherheitsmeldung.
Unter der Cisco Bug ID CSCvc08314 werden die Releases 11.5(1) und 11.6(1)
als betroffen genannt. Unter ‘Known Fixed Releases’ wird ein Download-Link
angegeben, man erhält allerdings keinen Aufschluss über fehlerbereinigte
Versionen.

CVE-2017-6626: Schwachstelle in Cisco Finesse for Cisco Unified Contact
Center Enterprise ermöglicht Ausspähen von Informationen

Im Cisco Finesse Notification Service for Cisco Unified Contact Center
Enterprise (UCCE) existiert eine Schwachstelle aufgrund des Vorhandenseins
eines Benutzerkontos mit einem nicht dokumentierten, hart kodierten
(hard-coded) Passwort.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0779/

Cisco Security Advisory cisco-sa-20170503-finesse-ucce (CVE-2017-6626):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170503-finesse-ucce

Schwachstelle CVE-2017-6626 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6626

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben