Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Prime Infrastructure >= 1.2
Cisco Prime Infrastructure <= 3.1 Betroffene Plattformen: Cisco Prime Infrastructure Durch Ausnutzung dieser Schwachstellen kann ein entfernter, einfach authentisierter Angreifer beliebigen Programmcode mit den Rechten des Dienstes zur Ausführung bringen. Cisco bestätigt diese Schwachstelle, hat aber noch keine Sicherheitsupdates oder Workarounds veröffentlicht. CVE-2016-1408: Schwachstelle in Cisco Prime Infrastructure ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes In der Web-Schnittstelle von Cisco Prime Infrastructure und Cisco Evolved Programmable Network Manager (EPNM) besteht eine Schwachstelle, die durch eine unvollständige Eingabeüberprüfung von HTTP-Anfragen hervorgerufen wird. Ein entfernter, einfach authentisierter Angreifer kann die Schwachstelle dazu ausnutzen, um beliebige Dateien hochzuladen und beliebigen Programmcode mit den Rechten des Prime-Web-Benutzers zur Ausführung zu bringen. Referenzen: Dieses Advisory finden Sie auch im DFN-CERT Portal unter: https://portal.cert.dfn.de/adv/DFN-CERT-2016-1057/

Cisco Security Advisory cisco-sa-20160629-pi-epnm:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160629-pi-epnm

Schwachstelle CVE-2016-1408 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1408

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.