DFN-CERT-2013-2068 Cisco WebEx Meeting Center: Mehrere Schwachstellen ermöglichen Cross-site Scripting und weitere Angriffe [Netzwerk][Cisco]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

WebEx Meetings Server

Betroffene Plattformen:

Cisco
Netzwerk

Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen
ausnutzen, um Befehle im fremden Nutzerkontext zur Ausführung zu bringen.
Hierzu muss er Benutzer dazu bringen, eine entsprechend manipulierte URL
aufzurufen (Cross-Site Scripting).

Ein authentifizierter Benutzer als Angreifer kann zudem eine weitere
Schwachstelle ausnutzen, um mit einer manipulierten URL Inhalte einer
fremden WebEx-Seite einzuschleusen.

Patch:

Schwachstelle CVE-2013-6970 (CISCO)

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6970

Patch:

Schwachstelle CVE-2013-6964 (CISCO)

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6964

Patch:

Schwachstelle CVE-2013-6962 (CISCO)

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6962

Patch:

Schwachstelle CVE-2013-6961 (CISCO)

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6961

Patch:

Schwachstelle CVE-2013-6960 (CISCO)

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6960

CVE-2013-6970: Zu ausführliche Fehlermeldungen bei WebEx Meeting Center

Einige Fehlerantworten des Servers Cisco WebEx Meeting Center enthalten
ausführliche Fehlerinformationen. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um Einsicht in diese
ausführlichen Fehlermeldungen zu erhalten und das gewonnene Wissen für
weitere Angriffe zu missbrauchen.

CVE-2013-6964: Umgehen von Sicherheitsbeschränkungen bei CISCO WebEx

Die Zugriffsbeschränkungen werden nur unzureichend umgesetzt. Ein
entfernter, authentifizierter Angreifer kann diese Schwachstelle ausnutzen,
um mit einer manipulierten URL Inhalte einer fremden WebEx-Seite
einzuschleusen.

CVE-2013-6962: Cross-Site Scripting Schwachstelle in Cisco WebEx Meeting
Center

Mobile Browser werden in unsicherer Weise auf Cisco WebEx Meeting Center
Sites umgeleitet.

Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um Befehle im Nutzerkontext eines angegriffenen Benutzers zur
Ausführung zu bringen. Hierzu reicht es aus, eine entsprechend manipulierte
URL aufzurufen (Cross-Site Scripting).

CVE-2013-6961: Cross-Site Scripting Schwachstelle in CPAC

Die Collaboration Partner Access Console (CPAC) der Cisco WebEx Business
Suite filtert Benutzereingaben nicht hinreichend.

CVE-2013-6960: Cross-Site Scripting Schwachstelle in Cisco WebEx Meeting
Center

Die Cisco WebEx Business Suite filtert Benutzereingaben nicht hinreichend.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2068/

Schwachstelle CVE-2013-6970 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6970

Schwachstelle CVE-2013-6964 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6964

Schwachstelle CVE-2013-6962 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6962

Schwachstelle CVE-2013-6961 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6961

Schwachstelle CVE-2013-6960 (CISCO):
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6960

Schwachstelle CVE-2013-6964 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6964