DFN-CERT-2013-1751 Cisco Identity Services Engine: Mehrere Schwachstellen ermöglichen u.a. Cross-Site Scripting [Netzwerk][Cisco]

DFN-CERT-2013-1751 Cisco Identity Services Engine: Mehrere Schwachstellen ermöglichen u.a. Cross-Site Scripting [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Identity Services Engine

Betroffene Plattformen:

Cisco
Netzwerk

Mehrere Schwachstellen in der Cisco Identity Services Engine erlauben es
einem entfernten, nicht authentifizierten Angreifer
Cross-Site-Scripting-Angriffe durchzuführen. Authentifizierte Benutzer
können zusätzlich SQL-Injections als Angriffsmöglichkeiten nutzen.

Patch:

Schwachstelle CVE-2013-5524 (CISCO)

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-5524

Patch:

Schwachstelle CVE-2013-5525 (CISCO)

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-5525

Patch:

Schwachstelle CVE-2013-5523 (CISCO)

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-5523

CVE-2013-5525: SQL-Injektion im Web-Framework der Cisco Identity Services
Engine (ISE) möglich

Im Web-Framework der Cisco Identity Services Engine (ISE) werden
Benutzereingaben nicht ausreichend geprüft bzw. bereinigt und anschließend
für SQL-Anfragen verwendet. Ein entfernter Benutzer kann als Angreifer diese
Schwachstelle für SQL-Injection Angriffe ausnutzen, indem er präparierte
URLs mit eingebetteten SQL-Anfragen versendet.

CVE-2013-5524: Cross-Site-Scripting in der Cisco Identity Services Engine
(ISE)

Auf der Seite “Troubleshooting” der Cisco Identity Services Engine (ISE)
werden Eingaben nicht ausreichend gefiltert. Ein entfernter Angreifer kann
diese Schwachstelle zum Ausführen von Befehlen mit den Berechtigungen eines
Benutzers ausnutzen, indem er diesen dazu bringt, einen entsprechend
aufgebauten Link zu öffnen (Cross Site Scripting / XSS).

CVE-2013-5523: Cross-Frame-Scripting Schwachstelle in dem Sponsor-Portal der
Cisco Identity Services Engine (ISE)

In dem Sponsor-Portal der Cisco Identity Services Engine (ISE) werden
HTML-IFrames nicht ausreichend geschützt. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle zum Ausführen von
Befehlen mit den Berechtigungen eines Benutzers nutzen. Hierzu muss der
Benutzer dazu gebracht werden, eine entsprechend aufgebaute HTML-Webseite zu
öffnen (sogenanntes Cross Frame Scripting / XFS).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1751/

Schwachstelle CVE-2013-5524 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-5524

Schwachstelle CVE-2013-5525 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-5525

Schwachstelle CVE-2013-5523 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-5523

Schwachstelle CVE-2013-5524 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5524

Schwachstelle CVE-2013-5523 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5523

Schwachstelle CVE-2013-5525 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5525

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben