DFN-CERT-2013-1721 Cisco Unified Computing System: Mehrere Schwachstellen ermöglichen das Erlangen von Administratorrechten [Netzwerk][Cisco]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Unified Computing System

Betroffene Plattformen:

Cisco
Netzwerk

Mehrere Schwachstellen in Cisco Unified Computing Systemen erlauben es einem
lokalen, authentifizierten Angreifer Administrationsrechte zu erhalten.

CVE-2012-4111: Schwachstelle in Cisco Unified Computing System

Eine Schwachstelle in Cisco Unified Computing System säubert die Parameter
im ‘create certreq’ Kommando nicht korrekt. Ein lokaler, authentifizierter
Angreifer kann durch präpaierte Parameter eine intertaktive Shell mit Root
Rechten erlangen.

CVE-2012-4110: Schwachstelle in Cisco Unified Computing System

Eine Schwachstelle in dem run-script Kommand im Cisco Unified Computing
System säubert Parameter nicht korrekt. Ein lokaler, authentifizierter
Angreifer kann durch präparierter Parameter eine interaktive Shell mit Root
Rechten erlangen.

CVE-2012-4109: Schwachstelle in Cisco Unified Computing System

Aufgrund der fehlerhaften Kontrolle von Benutzereingaben kann das
sshkey-Kommando dazu benutzt werden, unberechtigterweise beliebige Befehle
auszuführen und insbesondere einen interaktiven Shell-Zugang mit
Administrationsrechten zu erhalten.

CVE-2012-4104: Schwachstelle in Cisco Unified Computing System

Eine Schwachstelle in Cisco Unified Computing System behandelt Pfadangaben
im Bild Dateien nicht korrekt. Ein lokaler, authentifizierter Angreifer kann
durch präparierte Bild Dateien beliebige Dateien überschreiben.

CVE-2012-4103: Schwachstellen in Cisco Unified Computing System

Eine Schwachstelle in ethanalyzer säubert Benutzereingaben nicht korrekt.
Ein lokaler, authentifizierter Angreifer kann durch Eingaben von
präparierten Kommandos eine interaktive Shell mit Root Rechten erlangen.

CVE-2012-4102: Schwachstelle in Cisco Unified Computing System

Eine Schwachstelle in Cisco Unified Computing System ‘activate firmware’
Kommando prüft Benutzereingaben nicht vollständig. Ein lokaler,
authentifizierter Angreifer kann durch präparierte Eingaben beliebige
Befehle auf der Systemebene ausführen.

CVE-2012-4095: Schwachstelle in Cisco Unified Computing System

Eine Schwachstelle im lokalen Datei Editor filtert Tastenkürzel nicht
korrekt. Ein lokaler, authentifizierter Angreifer kann durch präparierte
Tastenkürzel mit Root Rechten beliebige Dateien lesen und schreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1721/

Schwachstelle CVE-2012-4095 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2012-4095

Schwachstelle CVE-2012-4104 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2012-4104

Schwachstelle CVE-2012-4103 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2012-4103

Schwachstelle CVE-2012-4102 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2012-4102

Schwachstelle CVE-2012-4111 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2012-4111

Schwachstelle CVE-2012-4109 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2012-4109

Schwachstelle CVE-2012-4110 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2012-4110

Schwachstelle CVE-2012-4095 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4095

Schwachstelle CVE-2012-4102 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4102

Schwachstelle CVE-2012-4103 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4103