/ Security / Cisco-Updates schließen mehrere Lücken

Cisco-Updates schließen mehrere Lücken

Moritz Rosenfeld on October 19, 2017 - 9:58 pm in Security

Mit aktuellen Updates schließt Cisco insgesamt 17 Sicherheitslücken. Eine davon ist kritisch und erlaubt den Remote-Zugriff auf die Cloud Services Platform (CSP) 2100.

Mehrere Cisco-Produkte weisen Lücken auf, deren Schweregrad laut Hersteller von “mittel” bis “kritisch” reicht. Die gefährlichste klafft in der Webkonsole der Cloud Services Platform (CSP) 2100: Ein authentifizierter Angreifer könnte sie ausnutzen, um aus der Ferne mit den darauf installierten Services und virtuellen Maschinen zu interagieren. Angreifbar ist die Soft-und Hardware-Plattform in Kombination mit einem der Software-Releases 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1 oder 2.2.2.

Von vier weiteren Schwachstellen geht ein hohes Risiko aus. Neben der bereits bekannten WPA2-KRACK-Attacke auf zahlreiche vom Hersteller aufgelistete Produkte erlauben sie Denial-of-Service-Angriffe auf IP-Telefone der Serien Small Business SPA50x, SPA51x und SPA52x sowie das Neustarten von Geräten mit installierter Firepower Extensible Operating System (FXOS) and NX-OS System-Software aus der Ferne.

Die Sicherheitslücken mittleren Schweregrads befinden sich unter anderem in der Web-Conferencing-Software WebEx sowie in in den Betriebssystemen IOS und IOS XE. In vielen Fällen sind sie ohne physischen Zugriff auf die verwundbaren Geräte ausnutzbar.

  • Cisco Cloud Services Platform 2100 Unauthorized Access Vulnerability
  • Multiple Vulnerabilities in Wi-Fi Protected Access and Wi-Fi Protected Access II (KRACK)
  • Cisco Small Business SPA50x, SPA51x, and SPA52x Series IP Phones SIP Denial of Service Vulnerability
  • Cisco Small Business SPA51x Series IP Phones SIP Denial of Service Vulnerability
  • Cisco FXOS and NX-OS System Software Authentication, Authorization, and Accounting Denial of Service Vulnerability
  • Cisco WebEx Meetings Server Cross-Site Scripting Vulnerability
  • Cisco WebEx Meetings Server Denial of Service Vulnerability
  • Cisco WebEx Meeting Center Cross-Site Scripting Vulnerability
  • Cisco Unified Contact Center Express Cross-Site Scripting Vulnerability
  • Cisco SPA300 and SPA500 Series IP Phones Cross-Site Request Forgery Vulnerability
  • Cisco NX-OS Software Python Parser Escape Vulnerability
  • Cisco Network Analysis Module Parameter Directory Traversal Arbitrary File Deletion Vulnerability
  • Cisco Jabber Information Disclosure Vulnerability
  • Cisco Jabber for Windows Client Information Disclosure Vulnerability
  • Cisco Expressway Series and Cisco TelePresence Video Communication Server REST API Denial of Service Vulnerability
  • Cisco IOS XE Software Verbose Debug Logging Information Disclosure Vulnerability
  • Cisco IOS XE Software Web Framework Cross-Site Scripting Vulnerability

(ovw)

Read more on: Source

Comments are disabled