Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (16.08.18):
Neues Advisory

Eine Schwachstelle (CVE-2018-0409) ermöglicht einem entfernten, nicht
authentisierten Angreifer einen kompletten Denial-of-Service (DoS)-Zustand
zu bewirken. Eine weitere Schwachstelle (CVE-2018-0386) ermöglicht einem
solchen Angreifer die Ausführung eines Cross-Site-Scripting (XSS)-Angriffes.
Der Schweregrad der Denial-of-Service-Schwachstelle wird von Cisco mit
‘high’ bewertet.

Für Cisco Unified Communications Manager IM & Presence Service (CUCM IM&P)
werden abhängig vom Versionszweig verschiedene Sicherheitsupdates zur
Behebung der Schwachstelle CVE-2018-0409 angegeben: Für die Versionen
10.5(1) und frühere, 11.0(1) und 11.5(1) steht das Sicherheitsupdate
11.5(1)SU4 bereit. Für die Version 10.5(2) wird das Sicherheitsupdate
11.5(2)SU angekündigt, welches noch nicht zur Verfügung steht. Für die
Version 12.0(1) wird das Sicherheitsupdate 12.0.1.12000-3 referenziert,
welches noch nicht öffentlich verfügbar ist.

Für Cisco TelePresence Video Communication Server (VCS) steht die Version
X8.11 zur Behebung der Schwachstelle CVE-2018-0409 bereit.

Ein Sicherheitsupdate zur Behebung der Schwachstelle CVE-2018-0386 steht
derzeit nicht zur Verfügung. Nutzern wird geraten sich direkt mit Cisco in
Verbindung zu setzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1639]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html