Cisco patcht 15 Sicherheitslücken

Cisco veröffentlicht in dieser Woche 15 Updates und schließt damit auch zwei hochkritische Lecks, die eine Denial-of-Service-Attacke und das Umgehen von Authentifizierungsmechanismen erlaubten. Diese Sicherheitslücken betreffen die Identity Services Engine (ISE) und die Videoscape Distribution Suite.

Der Bypass in ISE ist möglich, weil die Authentifizierungsanfragen nicht sauber ausgeführt werden und die Policy nicht korrekt angewendet wird. So musste ein externer Angreifer lediglich einen mit einem internen Nutzer identischen Nutzernamen verwenden. Dann wurden dem Angreifer die Policy des internen Mitarbeiters übergeben. Damit kann ein externer Nutzer oder Angreifer in dem Administrationsportal die höchsten Administrationsrechte bekommen, heißt es im Cisco-Advisory.

In der Videoscape Distribution Suite, einer virtuellen Video-Infrastruktur, kann das System zum Absturz gebracht werden, indem ein Angreifer große Datenmengen auf das System lädt. Die VDS versucht dann einen Neustart, wie Cisco im Advisory erklärt.

Darüber hinaus werden vier Cross-Site-Scripting-Lecks geschlossen, zwei SQL-Verwundbarkeiten, und neben weiteren auch ein Directory-Traversal- und ein Cross-Site-Request-Fogery-Leck. Darüber hinaus warnt Cisco, dass mehrere Produkte über ein Leck in dem Routing-Protokoll Open Shortest Path First (OSPF) betroffen sind.

Digitalisierung

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Um diese Lecks ausnutzen zu können, müssen jedoch zahlreiche Bedingungen erfüllt sein, was das Ausnutzen erheblich erschwert. Cisco bewertet das Leck daher mit “Medium”. So müsse ein Angreifer genau die Parameter in der LSA-Datenbank auf dem angegriffenen Router bestimmen. Zudem könne das Leck nur über manipulierte OSPF LSA Tpye 1 Pakete ausgenutzt werden.

Jetzt veröffentlicht Cisco Updates für Geräte mit IOS, NX-OS oder IOS XE, die für OSPF konfiguriert sind und Geräte, die eine Adaptive Security Appliance (ASA) für OSPF haben. Alle Geräte und Proukte ohne OSPF seien nicht betroffen. Auch wenn das Leck schwer auszunutzen ist, könne ein Angreifer darüber die Kontrolle über einen OSPF-Routing Table übernehmen und in der Folge den Traffic, der über diesen Router geschickt wird, abfangen oder umleiten.

Cisco hatte vergangene Woche auch vor einem Leck in der SDN-Lösung Autonomic Networking gewarnt. Bislang hat der Hersteller hierzu aber noch kein Update veröffentlicht.

Loading ...
Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Die Neuheiten der AWS re:Invent-Konferenz

Amazon Web Services (AWS) hat auf seiner re:Invent-Konferenz zahlreiche Innovationen vorgestellt, unter anderem für das…

3 Tagen ago

US-Handelsbehörde FTC klagt gegen Zusammenschluss von Nvidia und ARM

Nvidia erhält laut FTC Zugriff auf vertrauliche Informationen von Mitbewerbern. Darin sieht die Behörde einen…

3 Tagen ago

Google stellt Pläne für Ausbau seiner Cloud-Infrastruktur vor

Die Zahl der Regionen steigt von 25 im April auf jetzt 29. Neu sind Cloud-Regionen…

3 Tagen ago

Windows 11: Microsoft kündigt neue Anpassungsmöglichkeiten für das Startmenü an

Windows Insider testen sie derzeit im Developer Channel. Ein neues Layout bietet mehr angeheftete Elemente…

4 Tagen ago

Sicherheit und eine geschützte IP im Internet

Viel zu häufig sind Anwender im Internet leider nur schlecht geschützt unterwegs. Was beim privaten…

4 Tagen ago

Qualcomm stellt neue Snapdragon-Plattform für Windows-PCs vor

Sie bietet 85 Prozent mehr CPU-Leistung als der Vorgänger. Der Snapdragon 8cx Gen 3 integriert…

4 Tagen ago