DFN-CERT-2014-0886 Cisco Unified Communications Manager: Mehrere Schwachstellen ermöglichen unter anderem Cross-Site-Scripting [Netzwerk][Cisco]

DFN-CERT-2014-0886 Cisco Unified Communications Manager: Mehrere Schwachstellen ermöglichen unter anderem Cross-Site-Scripting [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Unified Communications Manager

Betroffene Plattformen:

Cisco Unified Communications Manager

Durch mehrere Schwachstellen im Cisco Unified Communications Manager ist es
einem entfernten, nicht authentifizierten Angreifer möglich, Dateien in das
Dateisystem zu lade, Dateien zu löschen oder auszuspähen und
Cross-Site-Scripting-Angriffe durchzuführen. Bisher hat Cisco keinen Patch
und keinen Workaround veröffentlicht.

CVE-2014-3318: Schwachstelle im Cisco Unified Communications Manager
ermöglicht das Ausspähen von Informationen

Die Eingabevalidierung in der “/dna/viewfilecontents.do” URL vom Cisco
Unified Communications Manager Dialed Number Analyzer (DNA) ist fehlerhaft.
Ein entfernter, authentifizierter Angreifer kann, durch präparierte
URL-Abfragen, Dateien aus bestimmten Bereichen des Dateisystems lesen.

CVE-2014-3317: Schwachstelle im Cisco Unified Communications Manager
ermöglicht das Umgehen von Sicherheitsvorkehrungen

Die Eingabevalidierung im “Multiple Analyzer” vom Cisco Unified
Communications Manager Dialed Number Analyzer (DNA) ist fehlerhaft. Ein
entfernter, authentifizierter Angreifer kann, durch eine präparierte
URL-Abfrage, beliebige Dateien im Dateisystem löschen.

CVE-2014-3316: Schwachstelle im Cisco Unified Communications Manager
ermöglicht das Umgehen von Sicherheitsvorkehrungen

Die Parameter des “Multiple Analyzer” des Cisco Unified Communications
Manager Dialed Number Analyzer (DNA) werden unzureichend überprüft. Ein
entfernter, authentifizierter Angreifer kann durch das Senden präparierter
Daten an den Webserver, beliebige Dateien in einen beschränkten Bereich des
Dateisystems hochladen.

CVE-2014-3315: Schwachstelle im Cisco Unified Communications Manager
ermöglicht Cross-Site-Scripting

Die Eingabevalidierung eines Parameters in der in der
“/dna/viewfilecontents.do” Seite vom Cisco Unified Communications Manager
ist fehlerhaft. Ein entfernter, nicht authentifizierter Angreifer kann
Cross-Site-Scripting-Angriffe durchführen, indem er den Benutzer dazu
verleitet, auf einen bösartigen Link zu klicken.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0886/

Cisco Security Notice Cisco-CVE-2014-3315:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3315

Cisco Security Notice Cisco-CVE-2014-3316:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3316

Cisco Security Notice Cisco-CVE-2014-3317:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3317

Cisco Security Notice Cisco-CVE-2014-3318:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3318

Schwachstelle CVE-2014-3315 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3315

Schwachstelle CVE-2014-3316 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3316

Schwachstelle CVE-2014-3317 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3317

Schwachstelle CVE-2014-3318 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3318

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben