Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Cisco WebEx Meetings Server 2.6
Betroffene Plattformen:
Cisco WebEx Meetings Server
Zwei Schwachstellen im Cisco WebEx Meetings Server ermöglichen einem
entfernten, nicht authentifizierten Angreifer die Durchführung von
Cross-Site-Scripting (XSS)-Angriffen und zwei weitere Schwachstellen
erlauben einem entfernten, einfach authentifizierten Angreifer das
Einschleusen von SQL-Statements und Befehlen.
Cisco bestätigt die Schwachstellen für den Cisco WebEx Meetings Server in
der Version 2.6 und stellt Sicherheitsupdates bereit.
Patch:
Cisco Security Advisory cisco-sa-20160714-wms (CVE-2016-1446)
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160714-wms
Patch:
Cisco Security Advisory cisco-sa-20160714-wms1 (CVE-2016-1447)
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160714-wms1
Patch:
Cisco Security Advisory cisco-sa-20160714-wms3 (CVE-2016-1449)
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160714-wms3
Patch:
Cisco Security Advisory cisco-sa-20160714-wms4 (CVE-2016-1450)
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160714-wms4
CVE-2016-1450: Schwachstelle im Cisco WebEx Meetings Server ermöglicht
Befehlsausführung
Eine Schwachstelle im Cisco WebEx Meetings Server existiert aufgrund der
Erwartung eines bestimmten Dateityps während eines Uploads. Ein entfernter,
einfach authentifizierter Angreifer kann die Schwachstelle ausnutzen, um
beliebige Befehle einzuschleusen und auf dem betroffenen System zur
Ausführung zu bringen.
CVE-2016-1449: Schwachstelle im Cisco WebEx Meetings Server ermöglicht
Cross-Site-Scripting
Eine Schwachstelle im Cisco WebEx Meetings Server basiert auf der
unzureichenden Überprüfung der Benutzereingaben durch die Software. Ein
entfernter, nicht authentifizierter Angreifer kann die Schwachstelle für
einen nicht persistenten (reflected) Cross-Site-Scripting-Angriff ausnutzen,
sofern er einen Benutzer zum Klicken auf eine manipulierte URL verleiten
kann, durch die dann bösartiger Code an die betroffene Software übermittelt
und im Kontext des Benutzers ausgeführt wird.
CVE-2016-1447: Schwachstelle im Cisco WebEx Meetings Server ermöglicht
Cross-Site-Scripting
Eine Schwachstelle im Cisco WebEx Meetings Server basiert auf der
unzureichenden Bereinigung der vom Benutzer an die Software übermittelten
Daten. Ein entfernter, nicht authentifizierter Angreifer kann die
Schwachstelle für einen nicht persistenten Cross-Site-Scripting-Angriff
ausnutzen, sofern er einen Benutzer zur Verwendung einer manipulierten URL
verleiten kann.
CVE-2016-1446: Schwachstelle im Cisco WebEx Meetings Server ermöglicht
SQL-Injection
Eine Schwachstelle im Cisco WebEx Meetings Server basiert auf der
unzureichenden Überprüfung der Benutzereingaben in SQL-Anfragen. Ein
entfernter, einfach authentifizierter Angreifer kann die Schwachstelle
ausnutzen, indem er manipulierte URLs an das betroffene System sendet, die
bösartige SQL-Statements enthalten, um eventuell sensible Informationen aus
der Datenbank auszulesen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1135/
Cisco Security Advisory cisco-sa-20160714-wms (CVE-2016-1446):
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160714-wms
Cisco Security Advisory cisco-sa-20160714-wms1 (CVE-2016-1447):
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160714-wms1
Cisco Security Advisory cisco-sa-20160714-wms3 (CVE-2016-1449):
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160714-wms3
Cisco Security Advisory cisco-sa-20160714-wms4 (CVE-2016-1450):
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160714-wms4
Schwachstelle CVE-2016-1446 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1446
Schwachstelle CVE-2016-1447 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1447
Schwachstelle CVE-2016-1449 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1449
Schwachstelle CVE-2016-1450 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1450
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
