UPDATE: DFN-CERT-2015-0897 Cisco WebEx Meeting Center: Mehrere Schwachstellen erlauben das Ausspähen von Informationen, Durchführen von Cross-Site-Scripting-Angriffen und Manipulieren von Daten [Netzwerk]

UPDATE: DFN-CERT-2015-0897 Cisco WebEx Meeting Center: Mehrere Schwachstellen erlauben das Ausspähen von Informationen, Durchführen von Cross-Site-Scripting-Angriffen und Manipulieren von Daten [Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (24.06.2015):
Cisco hat für das WebEx Meeting Center zusätzlich die Schwachstellen
CVE-2015-4208 und CVE-2015-4212 veröffentlicht. Neben dem Ausspähen von
Informationen erlaubt die Schwachstelle CVE-2015-4208 einem entfernten,
nicht authentisierten Angreifer die Durchführung von SQL Injection
Angriffen und damit das Manipulieren von Daten.
Version 1 (23.06.2015):
Neues Advisory

Betroffene Software:

WebEx Meeting Center

Betroffene Plattformen:

WebEx Meeting Center

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen
im Cisco Hosted WebEx Meeting Center ausnutzen, um Informationen auszuspähen
und Cross-Site-Scripting-Angriffe durchzuführen.

Patch:

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4207

http://tools.cisco.com/security/center/viewAlert.x?alertId=39457

Patch:

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4208

http://tools.cisco.com/security/center/viewAlert.x?alertId=39458

Patch:

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4209

http://tools.cisco.com/security/center/viewAlert.x?alertId=39459

Patch:

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4210

http://tools.cisco.com/security/center/viewAlert.x?alertId=39460

Patch:

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4212

http://tools.cisco.com/security/center/viewAlert.x?alertId=39467

CVE-2015-4212: Schwachstelle in Cisco WebEx Meeting Center erlaubt das
Ausspähen von Informationen

Eine Schwachstelle im Cisco WebEx Meeting Center besteht in der Offenlegung
sensibler Informationen. Ein entfernter, nicht authentisierter Angreifer
kann dies ausnutzen, um lesend auf Daten und “Credentials” zuzugreifen.

CVE-2015-4208: Schwachstelle in Cisco WebEx Meeting Center erlaubt die
Manipulation von Dateien

Eine Schwachstelle im Cisco WebEx Meeting Center ermöglicht einem
entfernten, nicht authentifizierten Angreifer vertrauliche Informationen
auszuspähen, die als GET Parameter übertragen werden, oder “SQL Injection”
Angriffe durchzuführen. Die Schwachstelle basiert auf unzureichenden
Sicherheitsbeschränkungen, wodurch vertrauliche Informationen in URLs als
GET Parameter eingebunden werden können. Ein Angreifer kann diese
Schwachstelle ausnutzen, indem er URL Requests von Anwendungen analysiert.

CVE-2015-4210: Schwachstelle in Cisco WebEx Meeting Center ermöglicht
Cross-Site-Scripting-Angriff

Im Cisco WebEx Meeting Center besteht eine Schwachstelle aufgrund der
unzureichenden Validierung von Benutzereingaben. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, indem er einen
Anwender dazu verleitet, auf eine manipulierte URL zu klicken, wodurch dann
schädlicher Programmcode auf dem betroffenen Gerät ausgeführt wird.

CVE-2015-4209: Schwachstelle in Cisco WebEx Meeting Center erlaubt das
Ausspähen von Informationen

Eine Schwachstelle im Cisco WebEx Meeting Center beruht auf inkonsistenten
Autorisierungsprüfungen. Ein entfernter, nicht authentisierter Angreifer
kann dies ausnutzen, um Kalenderinformationen auszuspähen.

CVE-2015-4207: Schwachstelle in Cisco WebEx Meeting Center erlaubt das
Ausspähen von Informationen

Im Cisco WebEx Meeting Center besteht eine Schwachstelle aufgrund der
Einbindung von sensitiven Informationen in URLs. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle nutzen, indem er auf die
Seite, welche die Meeting Registrations Informationen umfasst, zugreift, um
dann ohne Registrierung Zugang zum WebEx Meeting zur erhalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0897/

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4207:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39457

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4208:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39458

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4209:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39459

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4210:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39460

Schwachstelle CVE-2015-4207 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4207

Schwachstelle CVE-2015-4208 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4208

Schwachstelle CVE-2015-4209 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4209

Schwachstelle CVE-2015-4210 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4210

Cisco Vulnerability Alert Cisco-Alert-CVE-2015-4212:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39467

Schwachstelle CVE-2015-4212 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4212

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben