Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

WebEx Meetings Server

Betroffene Plattformen:

WebEx Meetings Server

Mehrere Schwachstellen im Cisco WebEx Meetings Server ermöglichen einem
entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen
und die Durchführung von Cross-Site-Request-Forgery-Angriffen. Während es
Sicherheitsupdates zum Verhindern des Ausspähens von Daten gibt, existiert
zum Unterbinden der Cross-Site-Request-Forgery-Angriffe (CVE-2015-0596) noch
kein Update.

Patch:

Cisco Security Notice Cisco-CVE-2015-0595

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2015-0595

Patch:

Cisco Security Notice Cisco-CVE-2015-0597

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2015-0597

CVE-2015-0597: Schwachstelle im Cisco WebEx Meetings Server ermöglich den
Zugriff auf sensible Informationen

Im Cisco WebEx Meetings Server existiert eine Schwachstelle im “Forgot
Password”-Prozess aufgrund einer unzureichenden Validierung der
Benutzereingaben. Ein entfernter, nicht authentifizierter Angreifer kann
durch das Senden von manipulierten Datenpaketen einen gültigen
Administrator-Account auszählen.

CVE-2015-0596: Cross-Site-Request-Forgery-Schwachstelle im Cisco WebEx
Meetings Server

Im Web Framework des Cisco WebEx Meetings Servers ist der Schutz vor
Cross-Site-Request-Forgery-Angriffen nicht ausreichend. Ein entfernter,
nicht authentisierter Angreifer kann dies ausnutzen, wenn er einen Benutzer
zum Aufruf eines manipulierten Links oder einer manipulierten Webseite
verleiten kann.
Derzeit ist kein Sicherheitsupdate zur Behebung der Schwachstelle
verfügbar.

CVE-2015-0595: Schwachstelle im Cisco WebEx Meetings Server ermöglicht das
Ausspähen von Daten

Eine Schwachstelle in der XML-API des Cisco WebEx Meetings Servers besteht
aufgrund der unzureichenden Bereinigung von Antworten auf Anfragen. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle über das
Senden manipulierter GET-Requests an ein verwundbares Gerät nutzen, um
Zugriff auf sensible Informationen zu erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0123/

Cisco Security Notice Cisco-CVE-2015-0595:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2015-0595

Cisco Security Notice Cisco-CVE-2015-0597:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2015-0597

Cisco Security Notice Cisco-CVE-2015-0596:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2015-0596

Schwachstelle CVE-2015-0595 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0595

Schwachstelle CVE-2015-0596 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0596

Schwachstelle CVE-2015-0597 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0597

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.