Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 9 (28.01.22):
Mit der Veröffentlichung 1.8 der referenzierten Sicherheitsmeldung
informiert Cisco darüber, dass die Cisco FXOS Software for Firepower
4100/9300 Series Appliances Versionen 2.9.1, 2.10.1, 2.11.1 (verfügbar)
sowie 2.12.1 (angekündigt für April 2022) die Schwachstellen beheben.
Weiterhin teil Cisco mit, dass auch Cisco Meeting Server betroffen ist und
nennt als fehlerbereinigte Versionen 3.2, 3.3 (angekündigt für März 2022),
3.4 (angekündigt für Februar 2022) und 3.5 (angekündigt für Mai 2022).
Version 8 (21.12.21):
Mit der Veröffentlichung 1.7 der referenzierten Sicherheitsmeldung
informiert Cisco darüber, dass die Cisco Wide Area Application Services
(WAAS) Version 6.4.5d, die für April 2022 angekündigt ist, die
Schwachstellen CVE-2021-34798 und CVE-2021-39275 behebt. Dieselbe Version
wird allerdings in der zugehörigen Cisco Bug-ID CSCwa33076 als betroffen
aufgeführt. Für das Cisco Firepower Next-Generation Intrusion Prevention
System (NGIPS) und die über das Cisco Firepower Management Center
administrierte Cisco Firepower Threat Defense (FTD) Software werden die
fehlerbereinigten Versionen 6.4.0.14 für Mai 2022 und 6.6.7 für März 2022
angekündigt. Cisco betont, dass die Software von CVE-2021-40438 betroffen
ist.
Version 7 (09.12.21):
Cisco aktualisiert das referenzierte Security Advisory erneut und
bestätigt die Verwundbarkeit von Cisco UCS Manager. Für einige verwundbare
Produkte stehen inzwischen Sicherheitsupdates zur Verfügung oder werden
angekündigt: Cisco Firepower Management Center 7.0.2 (Mai 2022) und
7.1.0.1 (Mai 2022), Cisco Policy Suite 22.1 (März 2022), Cisco Prime
Infrastructure 3.10 (verfügbar), Cisco Security Manager 4.25 (Juni 2021,
gemeint ist möglicherweise Juni 2022), Cisco Expressway Series 14.0.4
(verfügbar) und 14.1 (noch kein Datum genannt) sowie Cisco TelePresence
Video Communication Server (VCS) 14.0.4 (verfügbar) und 14.1 (noch kein
Datum genannt).
Version 6 (06.12.21):
Cisco aktualisiert das referenzierte Security Advisory erneut und
bestätigt die Verwundbarkeit von Cisco Wide Area Application Services
(WAAS), Cisco Prime Infrastructure und Cisco UCS Director Bare Metal
Agent. Patches stehen noch nicht zur Verfügung und sind auch noch nicht
angekündigt.
Version 5 (03.12.21):
Cisco aktualisiert das referenzierte Security Advisory erneut und
bestätigt die Verwundbarkeit der Cisco Policy Suite und der Cisco Unified
Computing System Central Software. Patches stehen noch nicht zur Verfügung
und sind auch noch nicht angekündigt. Die Sicherheitsupdates für die Cisco
Expressway Series und Cisco TelePresence Video Communication Server (VCS)
in Form der Version X14.0.4 werden jetzt als verfügbar angegeben.
Version 4 (02.12.21):
Cisco hat den Sicherheitshinweis aktualisiert und informiert darüber, dass
auch Cisco Cloud Services Platform 2100 und Cisco FXOS Software for
Firepower 4100/9300 Series Appliances von den Schwachstellen und Cisco
Firepower Management Center insbesondere von der kritischen Schwachstelle
CVE-2021-40438 betroffen sind. Hierfür werden (noch) keine
Sicherheitsupdates aufgeführt. Der Sicherheitshinweis soll weiter
aktualisiert werden.
Version 3 (29.11.21):
Cisco hat den Sicherheitshinweis aktualisiert und informiert darüber, dass
auch Cisco Prime Collaboration Provisioning von den Schwachstellen und
Cisco Security Manager insbesondere von der kritischen Schwachstelle
CVE-2021-40438 betroffen sind. Hierfür werden (noch) keine
Sicherheitsupdates aufgeführt. Eine Reihe von Produkten listet Cisco
inzwischen unter ‘nicht verwundbar’. Der Sicherheitshinweis soll weiter
aktualisiert werden.
Version 2 (26.11.21):
Cisco hat den Sicherheitshinweis aktualisiert und informiert darüber, dass
auch Cisco TelePresence Video Communication Server (VCS) von den
Schwachstellen betroffen ist. Auch hierfür werden als Sicherheitsupdates
die Releases X14.0.4 und X14.1 für Dezember 2021 angekündigt. Die
Untersuchungen dauern weiterhin an; der Hersteller wird den
Sicherheitshinweis erneut aktualisieren, sobald weitere Informationen
verfügbar sind.
Version 1 (25.11.21):
Neues Advisory
Ein Angreifer kann mehrere Schwachstellen in Apache HTTP-Server aus der
Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu
umgehen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Die erfolgreiche Ausnutzung der Schwachstelle CVE-2021-40438 kann Einfluss
auf andere Komponenten haben.
Cisco informiert darüber, dass einige seiner Produkte von den mit Apache
Software Foundation Release 2.4.49 behobenen Schwachstellen betroffen sind.
Derzeit wird Cisco Expressway Series als betroffen genannt und es werden als
Sicherheitsupdates die Releases X14.0.4 und X14.1 für Dezember 2021
angekündigt.
Die Untersuchungen betreffend weiterer Produkte dauern noch an; der
Hersteller wird den Sicherheitshinweis aktualisieren, sobald neue
Informationen verfügbar sind.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-2471]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
