Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Cisco NX-OS
Betroffene Plattformen:
Cisco NX-OS
Ein lokaler, authentifizierter Benutzer kann als Angreifer diese
Schwachstellen ausnutzen, um beliebige Dateien auf dem System zu löschen
oder auf diese zuzugreifen.
Patch:
Schwachstelle CVE-2012-4135 (CISCO)
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2012-4135
Patch:
Schwachstelle CVE-2012-4131 (CISCO)
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2012-4131
CVE-2012-4135: Directory-Traversal-Schwachstelle ermöglicht beliebige
Dateien zu löschen
Benutzereingaben auf der Kommandozeilen-Schnittstelle (Command Line
Interface, CLI) werden fehlerhaft geprüft und ermöglichen so über
Directory-Traversals den Befehl ‘filesys delete’ auf beliebige Dateien auf
betroffenen Systemen anzuwenden. Ein lokaler, authentifizierter Benutzer
kann als Angreifer diese Schwachstelle ausnutzen, um beliebige Dateien auf
dem System zu löschen.
CVE-2012-4131: Fehlerhafte Filterung von Eingaben auf Kommandozeile für tar
Die Schwachstelle entsteht durch die fehlerhafte Filterung von
Benutzereingaben über die Kommandozeile, wenn das Programm ‘tar’ aufgerufen
wird. Ein lokaler Benutzer kann als Angreifer damit Zugriff auf beliebige
Dateien erlangen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2098/
Schwachstelle CVE-2012-4135 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2012-4135
Schwachstelle CVE-2012-4135 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4135
Schwachstelle CVE-2012-4131 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2012-4131
Schwachstelle CVE-2012-4131 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4131
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
