DFN-CERT-2019-0166 Cisco WebEx Meetings Server, Cisco WebEx Network Recording Player, Cisco WebEx Player, Cisco WebEx Teams: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

DFN-CERT-2019-0166 Cisco WebEx Meetings Server, Cisco WebEx Network Recording Player, Cisco WebEx Player, Cisco WebEx Teams: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (24.01.19):
Neues Advisory

Mehrere Schwachstellen in WebEx Network Recording Player und WebEx Player
für Windows ermöglichen einem entfernten, nicht authentisierten Angreifer
die Ausführung beliebigen Programmcodes mit Hilfe speziell präparierter
Advanced Recording Format (ARF)- und WebEx Recording Format (WRF)-Dateien.
Eine Schwachstelle in WebEx Teams (ehemals Cisco Spark) ermöglicht dem
Angreifer ebenfalls die Ausführung beliebiger Befehle. Zusätzlich kann der
Angreifer eine Schwachstelle in Cisco WebEx Meetings Server für einen Cross-
Site-Scripting (XSS)-Angriff ausnutzen.

Cisco informiert über die Schwachstellen und stellt Sicherheitsupdates
bereit. Die schwerwiegende Schwachstelle CVE-2019-1636 wurde mit der Cisco
WebEx Teams Version 3.0.10260 (veröffentlicht am 21. November 21 2018)
behoben.

Die schwerwiegenden Schwachstellen CVE-2019-1637, CVE-2019-1638,
CVE-2019-1639, CVE-2019-1640 und CVE-2019-1641 im WebEx Network Recording
Player und WebEx Player werden für Cisco WebEx Meetings Suite (ehemals Cisco
WebEx Business Suite, WBS) WBS32 und WBS33 behoben. Hier stehen die
Versionen WBS32.15.33 und WBS33.6.1 sowie WBS33.7.0 als Sicherheitsupdates
bereit. Das analoge Sicherheitsupdate für Cisco WebEx Meetings Online ist
Version 1.3.40. Für Cisco WebEx Meetings Server ist hierbei ein Update auf
WebEx Network Recording Player 2.8MR3 SecurityPatch1 oder 3.0MR2
SecurityPatch2 zur Behebung der Schwachstellen erforderlich.

Cisco macht keine Angaben zu nicht von CVE-2019-1655 betroffenen Versionen
von Cisco WebEx Meetings Server, gibt aber an, dass die Schwachstelle
behoben ist.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0166]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben