Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Unity Connection Server 11.5(0.98)

Betroffene Plattformen:

Cisco Unity Connection Server

Durch Ausnutzen einer Schwachstelle kann ein entfernter, nicht
authentifizierter Angreifer einen Cross-Site-Request-Forgery (CSRF)-Angriff
durchführen.

Cisco bestätigt die Betroffenheit der Cisco Unity Connection Version
11.5(0.98), stellt bisher aber keine Sicherheitsupdates zur Verfügung. Als
Workaround empfiehlt Cisco, dass der Anwender überprüfen soll, dass es
sicher ist, einem unerbetenen Link zu folgen.

CVE-2015-6408: Cross-Site-Request-Forgery (CSRF)-Schwachstelle in Cisco
Unity Connection

Eine Cross-Site-Request-Forgery (CSRF)-Schwachstelle existiert in Cisco
Unity Connection aufgrund eines Mangels an CSRF-Schutzmaßnahmen. Ein
Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu
verleitet, einem schädlichen Link zu folgen. Dadurch ist es ihm möglich,
über den Webbrowser des Benutzers beliebige Requests an ein betroffenes
Gerät mit den Rechten des Benutzer zu senden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1914/

Cisco Security Advisory cisco-sa-20151209-uc:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-uc

Schwachstelle CVE-2015-6408 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6408

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.