DFN-CERT-2014-0062 Cisco Secure ACS: Mehrere Schwachstellen ermöglichen die Ausführung beliebiger Befehle [Netzwerk]

DFN-CERT-2014-0062 Cisco Secure ACS: Mehrere Schwachstellen ermöglichen die Ausführung beliebiger Befehle [Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Secure Access Control System (ACS) < 5.4.0.46.3 Cisco Secure Access Control System (ACS) < 5.5 Betroffene Plattformen: Cisco Secure Access Control System (ACS) Mehrere Schwachstellen im Web- und RMI-Interface des Cisco Secure ACS ermöglichen einem entfernten Angreifer die Ausführung beliebiger Befehle mit administrativen Rechten. Patch: Cisco Advisory cisco-sa-20140115-csacs http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140115-csacs

CVE-2014-0650: Schwachstelle im Cisco Secure Access Control System (ACS)

Das Web-Interface des Cisco Secure Access Control Systems (ACS) beinhaltet
eine Schwachstelle in der Verarbeitung von Eingabedaten. Ein entfernter,
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um mittels
speziell eingefügter Betriebssystem-Kommandos beliebige Befehle mit den
Rechten des Systems auszuführen.

CVE-2014-0649: Schwachstelle im Cisco Secure Access Control System (ACS)

Die Autorisierung durch das RMI-Interface des Cisco Secure Access Control
Systems (ACS) ist fehlerhaft. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um auf das ACS zuzugreifen und dort
Aktionen mit “superadmin” Rechten durchzuführen.

CVE-2014-0648: Schwachstelle im Cisco Secure Access Control System (ACS)

Die Authentifizierung und Autorisierung durch das RMI-Interface des Cisco
Secure Access Control Systems (ACS) ist fehlerhaft. Ein entfernter Angreifer
kann diese Schwachstelle ausnutzen, um auf das ACS zuzugreifen und dort
Aktionen mit administrativen Rechten durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0062/

Schwachstelle CVE-2014-0648 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0648

Schwachstelle CVE-2014-0649 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0649

Schwachstelle CVE-2014-0650 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0650

Cisco Advisory cisco-sa-20140115-csacs:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140115-csacs

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben