DFN-CERT-2014-0411 Cisco Emergency Responder: Mehrere Schwachstellen ermöglichen Cross-Site Scripting [Netzwerk][Cisco]

DFN-CERT-2014-0411 Cisco Emergency Responder: Mehrere Schwachstellen ermöglichen Cross-Site Scripting [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Emergency Responder 8.5
Cisco Emergency Responder 8.6

Betroffene Plattformen:

Cisco Unified Communications Manager

Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen
nutzen, um beliebigen Scriptcode auszuführen, Konfigurationen zu verändern,
sowie weitere nicht näher spezifizierte Angriffe vorbereiten.

CVE-2014-2117: XSS-Schwachstelle in Cisco Emergency Responder

Es besteht eine Schwachstelle innerhalb der Web Oberfläche des Emergency
Responders. Ein entfernter, nicht authentifizierter Angreifer kann mittels
eines “web page open redirection”-Angriffs weitere nicht näher spezifizierte
Angriffe vorbereiten.

CVE-2014-2116: XSS-Schwachstelle in Cisco Emergency Responder

Es besteht eine Schwachstelle innerhalb der Web-Oberfläche des Emergency
Responders durch unzureichende Eingabeüberprüfung. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch Webseiten injizieren, wenn er den
Benutzer dazu veranlassen kann, einem schädlichen Link zu folgen.

CVE-2014-2115: CSRF-Schwachstelle in Cisco Emergency Responder

Es besteht eine Schwachstelle innerhalb der “CERTUserServlet”-Seiten. Ein
entfernter, nicht authentifizierter Angreifer kann mittels eines
Cross-Site-Request-Forgery-Angriffs (CSRF) Änderungen an der Konfiguration
der Software vornehmen, um damit weitere nicht näher spezifizierte Angriffe
vorzubereiten.

CVE-2014-2114: XSS-Schwachstelle in Cisco Emergency Responder

Es besteht eine Schwachstelle innerhalb des UserServlets. Ein entfernter,
nicht authentifizierter Angreifer kann mittels eines Cross-Site
Scripting-Angriffs (XSS) beliebigen Programmcode innerhalb der Sitzung eines
anderen Benutzers im entsprechenden Sicherheitskontext ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0411/

Schwachstelle CVE-2014-2116 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-2116

Schwachstelle CVE-2014-2117 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-2117

Schwachstelle CVE-2014-2115 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-2115

Schwachstelle CVE-2014-2114 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-2114

Schwachstelle CVE-2014-2116 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2116

Schwachstelle CVE-2014-2117 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2117

Schwachstelle CVE-2014-2114 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2114

Schwachstelle CVE-2014-2115 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2115

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben