Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Spark

Betroffene Plattformen:

Cisco Hardware

Eine Schwachstelle in Cisco Spark Hybrid Calendar Service ermöglicht einem
entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen.

Cisco bestätigt diese Schwachstelle und stellt die Version 1.0.4486 als
Sicherheitsupdate bereit.

Patch:

Cisco Security Advisory cisco-sa-20171023-spark (CVE-2017-12310)

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171023-spark

CVE-2017-12310: Schwachstelle in Cisco Spark ermöglicht Ausspähen von
Informationen

In Cisco Spark Hybrid Calendar Service vor Version 1.0.4486 existiert eine
Schwachstelle aufgrund der unverschlüsselten Übertragung sensibler
Informationen in den HTTP-Kopfzeilen in der ‘Auto Discovery’-Phase. Diese
Informationen können in weiteren Angriffen zur Offenlegung von
Office365-Kundendaten wie Email und Kalender-Events führen. Ein Angreifer
kann diese Informationen ausspähen, indem er den Netzwerkverkehr beobachtet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1882/

Cisco Security Advisory cisco-sa-20171023-spark (CVE-2017-12310):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171023-spark

Schwachstelle CVE-2017-12310 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12310

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.