Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (17.05.18):
Neues Advisory

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle im
Web-Framework des Cisco Unified Communications Managers und Cisco Unified
Presence ausnutzen, um durch einen Cross-Site-Scripting (XSS)-Angriff gegen
einen Benutzer der Weboberfläche beliebigen Skript- oder HTML-Code
auszuführen. Der Angreifer muss dazu den Benutzer der Software zum Aufruf
einer speziell präparierten URL verleiten.

Cisco bestätigt die Schwachstellen in der zugehörigen Cisco Bug ID
CSCvg89116 für die Cisco Unified Communications Manager Versionen
10.5(2.10000.5), 11.0(1.10000.10), 11.5(1.10000.6) und 12.0(1.10000.10).

In der Bug ID werden die folgenden, nicht verwundbaren Produktversionen für
die Produkte Cisco Unified Communications Manager (CallManager, CCM), Cisco
Unified Presence (CUP), Cisco Unity Connection (CUC) und das
Migrationswerkzeug UCMAP aufgelistet: CCM.10.5(2.17146.1),
CCM.10.5(2.17900.1), CCM.10.5(2.17900.13), CCM.11.0(1.25091.1),
CCM.11.5(1.14069.1), CCM.11.5(1.14900.11), CCM.11.5(1.14900.6),
CCM.12.0(1.22010.1), CCM.12.5(0.98000.264), CUC.12.0(1.22007.3),
CUC.12.5(0.97000.108), CUP.11.5(1.14900.17), CUP.11.5(1.14900.20),
CUP.11.5(1.14900.21), CUP.11.5(1.14900.32), CUP.12.0(1.21000.4),
CUP.12.5(0.98000.347), CUP.12.5(0.98000.348), CUP.12.5(0.98000.349) und
UCMAP.12.5(0.98000.133).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0942]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html