Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco WebEx Meetings Server 2.6

Betroffene Plattformen:

Cisco WebEx Meetings Server

Ein entfernter, nicht authentifizierter Angreifer kann durch Ausnutzen einer
offenen Weiterleitung (Open Redirect) falsche Informationen darstellen,
indem er einen präparierten HTTP Request an die Weboberfläche von WebEx
Meetings Server sendet, wodurch der Benutzer derselben auf eine spezifische
schädliche URL weitergeleitet wird, ohne dass er dies bemerkt. In der Folge
kann der Angreifer möglicherweise sensitive Informationen ausspähen
(Phishing-Angriff).

Cisco stellt ein Sicherheitsupdate für Cisco WebEx Meetings Server 2.6
bereit. Andere Produkte von Cisco sind nicht von der Schwachstelle
betroffen.

Patch:

Cisco Security Advisory cisco-sa-20160428-cwms

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160428-cwms

CVE-2016-1389: Schwachstelle in WebEx Meetings Server ermöglicht Darstellung
falscher Informationen

Die Eingabeparameter in einer HTTP-Anfrage an die Weboberfläche von Cisco
WebEx Meetings Server (CWMS) werden nicht ausreichend geprüft.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0688/

Cisco Security Advisory cisco-sa-20160428-cwms:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160428-cwms

Schwachstelle CVE-2016-1389 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1389

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.