DFN-CERT-2017-1842 Cisco Expressway Series, TelePresence VCS: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Netzwerk][Cisco]

DFN-CERT-2017-1842 Cisco Expressway Series, TelePresence VCS: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Expressway Software
Cisco TelePresence Video Communication Server

Betroffene Plattformen:

Cisco TelePresence Video Communication Server
Cisco TelePresence Video Communication Server Expressway

Ein entfernter, einfach authentisierter Angreifer kann eine Schwachstelle in
der Cisco Expressway Series Software und TelePresence Video Communication
Server (VCS) Software ausnutzen, um einen Denial-of-Service (DoS)-Angriff
durchzuführen.

Cisco bestätigt die Schwachstelle und gibt unter der referenzierten Cisco
Bug ID CSCve77571 den Status mit ‘Fixed’ an, spezifiziert darin aber keine
verwundbaren Versionen. Für das aktuelle Cisco TelePresence Video
Communication Server und Expressway Series Release X8.10.2 wird das Release
Date 25-SEP-2017 genannt.

Patch:

Cisco Security Advisory cisco-sa-20171018-expressway-tp-vcs (CVE-2017-12287)

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-expressway-tp-vcs

CVE-2017-12287: Schwachstelle in Cisco Expressway Series und TelePresence
VCS ermöglicht Denial-of-Service-Angriff

In der Cluster Database (CDB) Management Komponente von Cisco Expressway
Series Software und Cisco TelePresence Video Communication Server (VCS)
Software existiert eine Schwachstelle aufgrund einer unvollständigen
Eingabevalidierung für URL Requests durch die REST API der betroffenen
Software. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine
präparierte URL an die REST API sendet, und dadurch einen Neustart des
CDB-Prozesses auf einem betroffenen System bewirken, wodurch ein
zeitweiliger Denial-of-Service (DoS)-Zustand eintritt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1842/

Cisco Security Advisory cisco-sa-20171018-expressway-tp-vcs (CVE-2017-12287):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-expressway-tp-vcs

Schwachstelle CVE-2017-12287 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12287

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben