Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Cisco Unified Intelligence Center < 11.6(1) Betroffene Plattformen: Cisco Unified Computing System Mehrere Schwachstellen in Cisco Unified Intelligence Center ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Cross-Site-Scripting (XSS)-Angriffen sowie eines Cross-Site-Request-Forgery (CSRF)-Angriffs. Cisco bestätigt die Schwachstelle in der Version 11.5(1) des Cisco Unified Intelligence Center und verweist in einem den zugehörigen Cisco Bug IDs angehängten Link auf 'Download Software for Cisco Unified Intelligence Center'. Darüber kann die Version 11.6(1) als Sicherheitsupdate zur Behebung der Schwachstellen heruntergeladen werden. Patch: Cisco Security Advisory cisco-sa-20170920-cuic (CVE-2017-12248) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170920-cuic
Patch:
Cisco Security Advisory cisco-sa-20170920-cuic1 (CVE-2017-12253)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170920-cuic1
Patch:
Cisco Security Advisory cisco-sa-20170920-cuic2 (CVE-2017-12254)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170920-cuic2
CVE-2017-12254: Schwachstelle in Cisco Unified Intelligence Center
ermöglicht Cross-Site-Scripting-Angriff
In der Webschnittstelle des Cisco Unified Intelligence Center existiert eine
Schwachstelle aufgrund unzureichender Validierung einiger Parameter, welche
als Eingaben an den Webserver geleitet werden. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, indem er einen
Benutzer verleitet einen bösartigen Link anzuklicken oder indem der
Angreifer eine Benutzeranfrage abfängt und bösartigen Programmcode darein
injiziert. Dies ermöglicht es dem Angreifer beliebigen Programmcode im
Kontext der betroffenen Seite auszuführen oder sensitive, Browser-basierte
Informationen auszuspähen.
CVE-2017-12253: Schwachstelle in Cisco Unified Intelligence Center
ermöglicht Cross-Site-Request-Forgery-Angriff
In Cisco Unified Intelligence Center existiert eine Schwachstelle aufgrund
unzureichender Schutzvorkehrungen gegen Cross-Site-Request-Forgery (CSRF).
Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, indem er einen Benutzer der Webschnittstelle verleitet eine
nachteilige Aktion auszuführen, und so einen Cross-Site-Request-Forgery
(CSRF)-Angriff durchführen.
CVE-2017-12248: Schwachstelle in Cisco Unified Intelligence Center
ermöglicht Cross-Site-Scripting-Angriff
Im Programmcode des Web-Framework der Cisco Unified Intelligence Center
Software existiert eine Schwachstelle aufgrund unzureichender Validierung
einiger Parameter, welche als Eingaben an den Webserver geleitet werden. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, indem er einen Benutzer verleitet einen bösartigen Link
anzuklicken oder indem der Angreifer eine Benutzeranfrage abfängt und
bösartigen Programmcode darein injiziert. Dies ermöglicht es dem Angreifer
einen Cross-Site-Scripting (XSS)-Angriff gegen einen Benutzer der
Webschnittstelle durchzuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1666/
Cisco Security Advisory cisco-sa-20170920-cuic (CVE-2017-12248):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170920-cuic
Cisco Security Advisory cisco-sa-20170920-cuic1 (CVE-2017-12253):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170920-cuic1
Cisco Security Advisory cisco-sa-20170920-cuic2 (CVE-2017-12254):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170920-cuic2
Schwachstelle CVE-2017-12248 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12248
Schwachstelle CVE-2017-12253 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12253
Schwachstelle CVE-2017-12254 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12254
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
