DFN-CERT-2017-2171 Cisco Data Center Network Manager: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Windows]

DFN-CERT-2017-2171 Cisco Data Center Network Manager: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Data Center Network Manager
Cisco Data Center Network Manager < 10.3(1)R(0.74) Cisco Data Center Network Manager < 10.3(1)R(0.79) Cisco Data Center Network Manager < 10.4(1)S9 Cisco Data Center Network Manager < 10.4(1)S11 Cisco Data Center Network Manager < 10.4(1)S19 Cisco Data Center Network Manager < 10.4(1.34)S0 Cisco Data Center Network Manager < 10.4(1.40)S0 Cisco Data Center Network Manager < 10.4(1.41)S0 Cisco Data Center Network Manager < 10.4(1.65)S0 Cisco Data Center Network Manager < 11.0(0.238)S0 Betroffene Plattformen: GNU/Linux Microsoft Windows Mehrere Schwachstellen in Cisco Data Center Network Manager ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Cross-Site-Scripting (XSS)-Angriffen, die Weiterleitung von Benutzern der Software auf potentiell schädliche Webseiten und die Darstellung falscher Informationen. Ein entfernter, einfach authentisierter Angreifer kann eine weitere Schwachstelle mit Hilfe speziell präparierter HTTP-Anfragen ausnutzen, um bestimmte Konfigurationseinstellungen von Cisco Data Center Network Manager zu manipulieren und beliebigen Programmcode zur Ausführung zu bringen. Cisco informiert über die Schwachstellen und stellt über die einzelnen zugehörigen Cisco Bug IDs Informationen zu betroffenen Softwareversionen und 'Known Fixed Releases' bereit. Die Versionen 10.3(1)R(0.74), 10.3(1)R(0.79), 10.4(1)S11, 10.4(1)S19, 10.4(1)S9, 10.4(1.34)S0, 10.4(1.40)S0, 10.4(1.41)S0, 10.4(1.65)S0 und 11.0(0.238)S0 werden zumindest für jeweils einige der Schwachstellen auf Basis der Versionsangaben für Cisco MDS 9500 Series Multilayer Directors als sicher benannt. Patch: Cisco Security Advisory cisco-sa-20171129-dcnm https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-dcnm

CVE-2017-12347: Schwachstelle in Cisco Data Center Network Manager
ermöglicht Cross-Site-Scripting-Angriff

Von Benutzern kontrollierbare Eingabedaten werden von Cisco Data Center
Network Manager nicht ausreichend geprüft. Ein entfernter, nicht
authentisierter Angreifer kann dadurch einen reflektierten
Cross-Site-Scripting (XSS)-Angriff durchführen (reflected XSS).

CVE-2017-12346: Schwachstelle in Cisco Data Center Network Manager
ermöglicht Cross-Site-Scripting-Angriff

Von Benutzern kontrollierbare Eingabedaten werden von Cisco Data Center
Network Manager nicht ausreichend geprüft. Ein entfernter, nicht
authentisierter Angreifer kann dadurch einen Cross-Site-Scripting
(XSS)-Angriff ausführen, der bei jedem Aufruf einer bestimmten Seite der
webbasierten Oberfläche ausgelöst wird (stored XSS).

CVE-2017-12345: Schwachstelle in Cisco Data Center Network Manager
ermöglicht Darstellung falscher Informationen

Bestimmte HTTP-Parameter werden von Cisco Data Center Network Manager nicht
ausreichend geprüft. Ein entfernter, nicht authentisierter Angreifer in
einer privilegierten Position im Netzwerk kann durch Einbringen speziell
präparierter Parameter in den Kommunikationspfad zwischen Benutzer und Cisco
Data Center Network Manager falsche Informationen darstellen, die den
Benutzer zur Ausführung potentiell schädlicher Aktionen verleiten können.

CVE-2017-12344: Schwachstelle in Cisco Data Center Network Manager
ermöglicht Darstellung falscher Informationen

Die Kopfdaten von HTTP-Anfragen werden von Cisco Data Center Network Manager
nicht ausreichend geprüft. Ein entfernter, nicht authentisierter Angreifer
in einer privilegierten Position im Netzwerk kann durch Einbringen speziell
präparierter HTTP-Kopfdaten in den Kommunikationspfad zwischen Benutzer und
Cisco Data Center Network Manager den Benutzer auf potentiell schädliche
Webseiten umleiten.

CVE-2017-12343: Schwachstelle in Cisco Data Center Network Manager
ermöglicht u.a. Ausführung beliebigen Programmcodes

In Cisco Data Center Network Manager werden von Benutzern kontrollierbare
Daten serverseitig nicht ausreichend validiert. Ein entfernter, einfach
authentisierter Angreifer kann die Schwachstelle ausnutzen, um bestimmte
Konfigurationseinstellungen von Cisco Data Center Network Manager zu
manipulieren und beliebigen Programmcode zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2171/

Cisco Security Advisory cisco-sa-20171129-dcnm:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-dcnm

Schwachstelle CVE-2017-12343 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12343

Schwachstelle CVE-2017-12344 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12344

Schwachstelle CVE-2017-12345 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12345

Schwachstelle CVE-2017-12346 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12346

Schwachstelle CVE-2017-12347 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12347

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben