Menü
Alert!
Security

Sicherheitsupdates: Kritische Lücken in Cisco IOS und Prime

In verschiedenen Netzwerkgeräten und -Software von Cisco klaffen teils kritische Lücken. Betroffene Admins sollten die verfügbaren Patches zügig installieren.

vorlesen Drucken Kommentare lesen
Sicherheitsupdates: Kritische Lücken in Cisco IOS und Prime

Der Netzwerkausrüster Cisco hat wichtige Sicherheitsupdates für verschiedene Produkte aus seinem Portfolio veröffentlicht. Davon sind zwei Lücken mit dem Bedrohungsgrad "kritisch", elf mit "hoch" und 18 mit "mittel" eingestuft.

Eine kritische Schwachstelle klafft in IOS XE Software im Authentication, Authorization und Accounting (AAA) Security Service. Ein Angreifer könnte bei der Verarbeitung eines Nutzernamens dazwischengrätschen, ein System zum Absturz bringen (DoS) oder sogar Schadcode ausführen.

Die zweite kritische Lücke findet sich in Prime Collaboration Provisioning (PCP). Nutzt ein Angreifer diese aus, soll er aus der Ferne ohne Anmeldung auf das Java-Remote-Invocation-System zugreifen können. Anschließend könne er Einstellungen an PCP und daran hängenden Geräten vornehmen, warnt Cisco. Einstiegspunkt für den Angriff ist ein offener Port in der Network Interface and Configuration Engine.

Schwachstellen mit dem Bedrohungsgrad "hoch" klaffen unter anderem ebenfalls in PCP, diversen IP-Telefonen und Meeting Server. Setzen Angreifer an diesen Schwachstellen an, können sie beispielsweise Passwörter zurücksetzen, Geräte lahmlegen und Informationen abziehen.

Mit "mittel" eingestufte Lücken machen zum Beispiel Unified Communications Manager und WebEx angreifbar. Hier sind vor allem XSS-Angriffe möglich.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)