Alert!

Jetzt updaten: Cisco bessert bei der Sicherheit seines "Security Managers" nach

Dank Lücken mit "High" und "Critical"-Einstufung war Ciscos Security Manager der Sicherheit eher abträglich. Software-Updates sind jetzt teilweise verfügbar.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge
Von
  • Olivia von Westernhagen

Drei Lücken mach(t)en Ciscos Security Manager zur zentralen Verwaltung und Überwachung von Sicherheitsprodukten unsicher. Angreifer hätten sie missbrauchen können, um aus der Ferne und ohne Authentifizierung vertrauliche Informationen abzugreifen oder beliebige Befehle auf verwundbaren Systemen auszuführen.

Für die Angreifbarkeit der Software waren fest im Code hinterlegte (und dazu noch schlecht geschützte) Zugangsdaten, Sicherheitsmängel bei der Verarbeitung übermittelter Inhalte (Java-Deserialisierung) und unzureichende Validierungsmechanismen bei Pfadangaben (Path Traversal) verantwortlich. Das Sicherheitsrisiko hat Cisco in einem Fall als "kritisch", in den beiden anderen als "hoch" bewertet.

Verwundbar über alle drei Lücken sind Cisco Security Manager-Releases bis einschließlich 4.21. Vor zwei Angriffsmöglichkeiten (CVE-2020-27130/CVSS-Score 9.1, "Critical" und CVE-2020-27125/CVSS 7.4, "High") schützt laut Ciscos aktuellen Security Advisories ein Update auf die neue Security Manager-Version 4.22. Die dritte Lücke (CVE-2020-27131/CVSS 8.1, "High") ist allerdings noch immer vorhanden: Sie soll erst in der kommenden Version 4.23 beseitigt werden. Workarounds nennt Cisco im Advisory nicht.

Lesen Sie auch

(ovw)