Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Cisco Secure Access Control Server Solution Engine 5.7(0.15)
Betroffene Plattformen:
Cisco Secure Access Control Server (ACS)
Mehrere Schwachstellen in der Cisco Secure Access Control Server Solution
Engine ermöglichen einem entfernten, einfach authentisierten Angreifer das
Umgehen von Sicherheitsvorkehrungen und einem entfernten, nicht
authentisierten Angreifer die Durchführung von Cross-Site-Scripting
(XSS)-Angriffen.
Der Hersteller bestätigt die Schwachstellen für Cisco Secure ACS Release
5.7(0.15). Cisco hat bisher noch keine Sicherheitsupdates zur Verfügung
gestellt.
CVE-2015-6349: Schwachstelle in Cisco Secure Access Control Server
ermöglicht Cross-Site-Scripting-Angriff
Eine Schwachstelle in der Cisco Secure Access Control Server
Web-Schnittstelle führt zu einer unzureichenden Bereinigung von
Benutzereingaben. Ein entfernter, nicht authentisierter Angreifer kann einen
Cross-Site-Scripting (XSS)-Angriff durchführen, indem er einen Benutzer zum
Besuch einer speziell präparierten URL verleitet.
CVE-2015-6348: Schwachstelle in Cisco Secure Access Control Server
ermöglicht Umgehen von Sicherheitsvorkehrungen
Eine Schwachstelle im Cisco Secure Access Control Server ist auf eine
unzureichende RBAC-Überprüfung bei dem Zugriff auf die Web-Schnittstelle zur
Erzeugung von Reports zurückzuführen. Ein entfernter, einfach
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen und ohne
Autorisierung Informationen wie Benutzernamen und IP-Adressen über Reports
und Status des Systemadministrator einsehen.
CVE-2015-6347: Schwachstelle in Cisco Secure Access Control Server
ermöglicht Umgehen von Sicherheitsvorkehrungen
Eine Schwachstelle im Cisco Secure Access Control Server ist auf eine
unzureichende RBAC-Überprüfung bei der Erstellung eines administrativen
Dashboard oder Portlet zurückzuführen. Ein entfernter, einfach
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen und nicht
autorisiert ein Dashboard oder Portlet erstellen.
CVE-2015-6346: Schwachstelle in Cisco Secure Access Control Server
ermöglicht Cross-Site-Scripting-Angriff
Eine Schwachstelle in der Cisco Secure Access Control Server
Web-Schnittstelle führt zu einer unzureichenden Bereinigung von
Benutzereingaben innerhalb von Document Object Model (DOM)-Eingaben. Ein
entfernter, nicht authentisierter Angreifer kann einen Cross-Site-Scripting
(XSS)-Angriff durchführen, indem er einen Benutzer zum Besuch einer speziell
präparierten URL mit schädlichen DOM-Statements verleitet.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1659/
Cisco Security Advisory cisco-sa-20151023-acs_rbac:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151023-acs_rbac
Cisco Security Advisory cisco-sa-20151023-acs_rbac1:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151023-acs_rbac1
Cisco Security Advisory cisco-sa-20151023-acs_xss:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151023-acs_xss
Cisco Security Advisory cisco-sa-20151023-acs_xss1:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151023-acs_xss1
Schwachstelle CVE-2015-6346 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6346
Schwachstelle CVE-2015-6347 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6347
Schwachstelle CVE-2015-6348 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6348
Schwachstelle CVE-2015-6349 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6349
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
