DFN-CERT-2013-1842 Cisco: Mehrere Schwachstellen ermöglichen das Erlangen von Administratorrechten [Netzwerk][Cisco]

DFN-CERT-2013-1842 Cisco: Mehrere Schwachstellen ermöglichen das Erlangen von Administratorrechten [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Media Experience Engine
Oracle MySQL Enterprise Monitor <= 2.3.13 Cisco Business Edition 3000 Cisco Identity Services Engine Betroffene Plattformen: Cisco Netzwerk Mehrere Schwachstellen in verschiedenen Cisco Produkten ermöglichen einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service Angriff durzuführen oder beliebige Befehle mit Administrationsrechten auszuführen. Die CVE-2013-5530 betrifft nur die Cisco Identity Services Engine (ISE). Patch: Multiple Vulnerabilities in Cisco Identity Services Engine http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-ise

Patch:

Apache Struts 2 Command Execution Vulnerability in Multiple Cisco Products

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-struts2

CVE-2013-5530: Schwachstelle in Cisco Identity Services Engine

Eine Schwachstelle im Web Framework der Cisco Identity Services Engine (ISE)
filtert Benutzereingaben nicht vollständig. Ein entfernter,
authentifizierter Angreifer kann durch präparierte Eingaben beliebige
Befehle mit Administrator-Rechten ausführen.

CVE-2013-2251: Apache Struts 2 erlaubt OGNL-Befehle bei Manipulation von
Parametern

OGNL-Befehle werden bei manipulierten Parametern nicht aus der URL
herausgefiltert. Dies betrifft URLs , die (1) redirect:, (2) redirectAction:
oder (3) action: Präfixe benutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1842/

Schwachstelle CVE-2013-2251 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2251

Herstelleradvisory Oracle MySQL Patchday October 2013:
http://www.oracle.com/technetwork/topics/security/cpuoct2013verbose-1899842.html#MSQL

http://struts.apache.org/release/2.3.x/docs/s2-016.html:
http://struts.apache.org/release/2.3.x/docs/s2-016.html

Schwachstelle CVE-2013-2251 (Cisco):
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-struts2/cvrf/cisco-sa-20131023-struts2_cvrf.xml

Schwachstelle CVE-2013-5530 (Cisco):
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-ise/cvrf/cisco-sa-20131023-ise_cvrf.xml

Schwachstelle CVE-2013-5530 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5530

Multiple Vulnerabilities in Cisco Identity Services Engine:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-ise

Apache Struts 2 Command Execution Vulnerability in Multiple Cisco Products:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-struts2

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben