Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Cisco Unified Communications Manager
Betroffene Plattformen:
Cisco Unified Communications Manager
Mehrere Schwachstellen im Cisco Unified Communications Manager ermöglichen
einem entfernten, nicht authentifizierten Angreifer
Cross-Site-Scripting-Angriffe durchzuführen und einem entfernten,
authentifizierten Angreifer Informationen auszuspähen.
Cisco hat zur Behebung dieser Schwachstellen noch keine Sicherheitsupdates
veröffentlicht.
CVE-2014-3375: Cross-Site-Scripting-Schwachstelle in der
Service-Schnittstelle des CCM
Eine Schwachstelle in der Service-Schnittstelle vom Cisco Unified
Communications Manager führt dazu, dass bestimmte HTTP-POST- und
HTTP-GET-Anfragen nicht korrekt bereinigt werden. Ein entfernter, nicht
authentifizierter Angreifer kann einen Cross-Site-Scripting-Angriff
durchführen.
CVE-2014-3374: Cross-Site-Scripting-Schwachstelle in der
Administrations-Web-Schnittstelle des CCM
Eine Schwachstelle in der Administrations-Web-Schnittstelle des Cisco
Unified Communications Manager führt dazu, dass bestimmte HTTP-POST- und
HTTP-GET-Anfragen nicht korrekt bereinigt werden. Ein entfernter, nicht
authentifizierter Angreifer kann einen Cross-Site-Scripting-Angriff
durchführen.
CVE-2014-3373: Cross-Site-Scripting-Schwachstelle im ‘Dialed Number
Analyzer’ des CCM
Eine Schwachstelle in der Schnittstelle des ‘Dialed Number Analyzer’ im
Cisco Unified Communications Manager Server führt dazu, dass bestimmte
Parameter von HTTP-POST- und HTTP-GET-Anfragen nicht korrekt bereinigt
werden. Ein entfernter, nicht authentifizierter Angreifer kann einen
Cross-Site-Scripting-Angriff durchführen.
CVE-2014-3372: Cross-Site-Scripting-Schwachstelle in CCM-Reports
Eine Schwachstelle in der CCM-Report-Schnittstelle vom Cisco Unified
Communications Manager Server führt dazu, dass die Eingaben bestimmter
Parameter von HTTP-POST- und HTTP-GET-Anfragen nicht korrekt geprüft werden.
Ein entfernter, nicht authentifizierter Angreifer kann darüber einen
Cross-Site-Scripting-Angriff durchführen.
CVE-2014-3366: Schwachstelle in der Administrations-Web-Schnittstelle des
CUCM
Eine SQL-Injection-Schwachstelle in der Administrations-Web-Schnittstelle
des Cisco Unified Communications Manager (CUCM) führt dazu, dass
Benutzereingaben nicht korrekt bereinigt werden. Ein entfernter, einfach
authentifizierter Angreifer kann dies zum Ausspähen von Informationen
nutzen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1430/
Cisco Security Notice Cisco-CVE-2014-3366:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3366
Cisco Security Notice Cisco-CVE-2014-3372:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3372
Cisco Security Notice Cisco-CVE-2014-3373:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3373
Cisco Security Notice Cisco-CVE-2014-3374:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3374
Cisco Security Notice Cisco-CVE-2014-3375:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3375
Schwachstelle CVE-2014-3366 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3366
Schwachstelle CVE-2014-3372 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3372
Schwachstelle CVE-2014-3373 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3373
Schwachstelle CVE-2014-3374 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3374
Schwachstelle CVE-2014-3375 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3375
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
