Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (08.03.18):
Neues Advisory

Mehrere Schwachstellen in der Cisco Identity Services Engine (ISE) Software
ermöglichen einem entfernten, nicht authentisierten Angreifer die
Durchführung von Cross-Site-Request-Forgery (CSRF)- und Cross-Site-Scripting
(XSS)-Angriffen über speziell präparierte URLs, die dazu von Benutzern der
Weboberfläche aufgerufen werden müssen. Ein entfernter, einfach
authentifizierter Angreifer mit Zugriff auf die Weboberfläche der Software
kann eine weitere Schwachstelle ausnutzen, um seine Privilegien zu
eskalieren. Darüber hinaus existieren mehrere Schwachstellen, die einem
lokalen, einfach authentifizierten Angreifer die Ausführung beliebigen
Programmcodes und das Erzeugen eines dauerhaften Denial-of-Service
(DoS)-Zustands ermöglichen. Zwei dieser Schwachstellen können nur von einem
Angreifer mit Administratorrechten ausgenutzt werden.

Cisco bestätigt die Schwachstellen für verschiedene Versionen der Cisco
Identity Services Engine (ISE) Software auf Cisco ISE 3300 Series Appliances
und gibt an, dass Sicherheitsupdates zur Verfügung stehen. Informationen zu
betroffenen Versionen werden in den Cisco Bug IDs gegeben, die in den
jeweiligen Sicherheitshinweisen für die einzelnen Schwachstellen
referenziert sind. An gleicher Stelle wird auch ein Link zum Download
aktueller Software gegeben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0454]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html