Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Identity Services Engine 1.2 (1.198)
Cisco Identity Services Engine 1.3 (0.876)

Betroffene Plattformen:

Cisco Identity Services Engine

Durch Ausnutzen einer Schwachstelle kann ein entfernter, nicht
authentisierter Angreifer Cross-Site-Scripting (XSS)-Angriffe durchführen.
Zum Zeitpunkt der Veröffentlichung dieser Warnung wurden vom Hersteller
Cisco ISE Releases 1.2 (1.198) und 1.3 (0.876) als verwundbar genannt;
spätere Versionen von Cisco ISE könnten aber ebenfalls verwundbar sein.

Patch:

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4268

http://tools.cisco.com/security/center/viewAlert.x?alertId=39873

CVE-2015-4268: Cross-Site-Scripting-Schwachstelle in Cisco Identity Services
Engine

Eine Schwachstelle im Cisco Identity Services Engine (ISE) Infra Admin User
Interface (UI) besteht aufgrund einer unzureichenden Eingabeüberprüfung für
einige Parameter, die über HTTP GET oder POST Methoden weitergereicht
werden. Ein Angreifer kann die Schwachstelle ausnutzen, indem er Pakete von
Benutzern abfängt und schädlichen Programmcode einschleust. Dadurch ist es
dem Angreifer möglich, beliebigen Skript-Code im Kontext der betroffenen
Webseite auszuführen und auf sensitive Browser-basierte Informationen
zuzugreifen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1042/

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4268:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39873

Schwachstelle CVE-2015-4268 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4268

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.