DFN-CERT-2017-1944 Cisco Prime Collaboration Provisioning: Eine Schwachstelle ermöglicht das Ausführen beliebiger SQL-Kommandos [VMware][Netzwerk][Cisco]

DFN-CERT-2017-1944 Cisco Prime Collaboration Provisioning: Eine Schwachstelle ermöglicht das Ausführen beliebiger SQL-Kommandos [VMware][Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Prime Collaboration Provisioning Software < 12.3 Betroffene Plattformen: Cisco Unified Communications VMware ESXi Eine Schwachstelle in Cisco Prime Collaboration Provisioning ermöglicht einem entfernten, einfach authentisierten Angreifer durch Einschleusen schädlicher SQL-Statements in die SQL-Datenbank, Informationen zu lesen und zu schreiben und dadurch die Vertraulichkeit und Integrität der Software in hohem Maße anzugreifen. Cisco bestätigt die Schwachstelle für alle Cisco Prime Collaboration Provisioning Software Releases vor Version 12.3 und verweist bezüglich weiterer Informationen auf die Cisco Bug ID CSCvf47935. Dort wird derzeit nur Cisco Prime Collaboration 11.5(0) unter den 'Known Affected Releases' genannt und der Status wird mit 'Fixed' angegeben. Cisco hat ein Sicherheitsupdate zur Verfügung gestellt, die Version 12.3 ist die aktuelle Version der Software. Patch: Cisco Security Advisory cisco-sa-20171101-cpcp (CVE-2017-12276) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-cpcp

CVE-2017-12276: Schwachstelle in Cisco Prime Collaboration Provisioning
ermöglicht SQL-Injektion

Im Webframework-Code für das SQL-Datenbank-Interface der Cisco Prime
Collaboration Provisioning Anwendung existiert eine Schwachstelle aufgrund
des Fehlens einer ordentlichen Validierung von durch Benutzer beigesteuerten
Eingaben innerhalb von SQL-Abfragen. Ein Angreifer kann diese Schwachstelle
ausnutzen, indem er präparierte URLs an eine betroffene Anwendung sendet,
die schädliche SQL-Statements beinhalten. Dadurch kann der Angreifer die
Anwesenheit bestimmter Werte in der Datenbank ermitteln und schädlichen
Daten in die SQL-Datenbank schreiben. Hierfür benötigt der Angreifer gültige
Benutzer-Credentials.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1944/

Cisco Security Advisory cisco-sa-20171101-cpcp (CVE-2017-12276):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-cpcp

Schwachstelle CVE-2017-12276 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12276

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben