DFN-CERT-2015-0569 Cisco Secure Access Control Server Solution Engine: Eine Schwachstelle ermöglicht Cross-Site Request Forgery (CSRF)-Angriff [Netzwerk][Cisco]

- 17. April 2015

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Secure Access Control Server Solution Engine 5.4 (0.46.6)
Cisco Secure Access Control Server Solution Engine 5.5 (0.36)
Cisco Secure Access Control Server Solution Engine 5.5 (0.46.4)

Betroffene Plattformen:

Cisco Secure Access Control Server Solution Engine

Durch eine Schwachstelle in der Cisco Secure Access Control Server Solution
Engine kann ein entfernter, nicht authentifizierter Angreifer einen
Cross-Site Request Forgery (CSRF)-Angriff durchführen.

Patch:

Cisco Vulnerability Alert 38403: Cisco Secure Access Control Server
Dashboard Page Cross-Site Request Forgery Vulnerability

http://tools.cisco.com/security/center/viewAlert.x?alertId=38403

CVE-2015-0700: Schwachstelle in Cisco Secure Access Control Server
ermöglicht Cross-Site Request Forgery (CSRF)-Angriff

Eine Cross-Site Request Forgery (CSRF)-Schwachstelle in der Dashboard-Seite
der “monitoring-and-report”-Sektion in Cisco Secure Access Control Server
Solution Engine vor Version 5.5(0.46.5) basiert auf einer ungenügenden
Generierung und Validierung des CSRF-Token.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0569/

Cisco Vulnerability Alert 38403: Cisco Secure Access Control Server Dashboard
Page Cross-Site Request Forgery Vulnerability:
http://tools.cisco.com/security/center/viewAlert.x?alertId=38403

Schwachstelle CVE-2015-0700 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0700

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.