DFN-CERT-2015-0924 Cisco Unified Communications Manager IM und Presence Service: Zwei Schwachstellen ermöglichen eine Privilegieneskalation und Manipulation von Daten [Netzwerk][Cisco]

DFN-CERT-2015-0924 Cisco Unified Communications Manager IM und Presence Service: Zwei Schwachstellen ermöglichen eine Privilegieneskalation und Manipulation von Daten [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Unified Communications Manager Unified Communications Manager IM and
Presence Service 9.1(1)

Betroffene Plattformen:

Cisco Unified Communications Manager

Zwei Schwachstellen ermöglichen einem authentifizierten, entfernten
Angreifer eine Priviligieneskalation und die Manipulation von
Datenbanktabellen auf dem betroffenen System.

Patch:

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4221

http://tools.cisco.com/security/center/viewAlert.x?alertId=39505

Patch:

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4222

http://tools.cisco.com/security/center/viewAlert.x?alertId=39506

CVE-2015-4222: Schwachstelle im Cisco Unified Communications Manager IM und
Presence Service ermöglicht Manipulation von Daten

Eine Schwachstelle im Cisco Unified Communications Manager IM und Presence
Service erlaubt es einem entfernten, authentifizierten Angreifer Tabellen zu
lesen, verändern oder zu löschen. Dies ist dem Umstand geschuldet, dass eine
unzureichende Prüfung der SQL-Queries vorgenommen wird. Ein Angreifer kann
diese Schwachstelle ausnutzen um speziell präparierte SQL-Queries an das
System zu schicken und Tabellen auf dem System zu verändern.

CVE-2015-4221: Schwachstelle im Cisco Unified Communications Manager IM und
Presence Service ermöglicht Privilegieneskalation

Durch eine unzureichende Webseitenverschlüsselung, ist es einem entfernten,
authentifizierten Angreifer möglich verschlüsselte Passwörter auszulesen.
Dies kann zur Erhöhung der eigenen Rechte genutzt werden, um damit weitere
Angriffe vorzubereiten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0924/

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4221:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39505

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4222:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39506

Schwachstelle CVE-2015-4221 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4221

Schwachstelle CVE-2015-4222 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4222

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben