Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Wireless LAN Controller

Betroffene Plattformen:

Cisco
Netzwerk

Entfernte, nicht authentisierte Angreifer, die einen Cross Frame Scripting
(XFS) Angriff durchführen, können mittels IFRAME-Elementen die Anzeige so
überlagern, dass der Klick eines Benutzers zu ungewollten Aktionen führt.

Außerdem können entfernte, nicht authentisierte Angreifer durch entsprechend
manipulierte Control and Provisioning of Wireless Access Points (CAPWAP)
Pakete einen Denial-of-Service des Cisco Wireless LAN Controller (WLC) Gerät
auslösen.

Patch:

Schwachstelle CVE-2013-6698 (CISCO)

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6698

Patch:

Schwachstelle CVE-2013-6699 (CISCO)

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6699

CVE-2013-6699: Manipulierte CAPWAP-Pakete erlauben Denial-of-Service

In der Implementierung des CAPWAP-Protokolls existiert ein Pufferüberlauf.

CVE-2013-6698: Cross Frame Scripting (XFS) Angriff auf WLC

Die Web-Schnittstelle des Cisco Wireless LAN Controller (WLC) Geräts
schränkt die Verwendung von IFRAME-Elementen nicht weit genug ein. Hierdurch
gibt es das Potential für einen XFS-Angriff.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1977/

Schwachstelle CVE-2013-6698 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6698

Schwachstelle CVE-2013-6699 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6699

Schwachstelle CVE-2013-6698 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6698

Schwachstelle CVE-2013-6699 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6699

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.