Patches: Cisco rüstet IP-Telefone gegen Schadcode
In mehreren Cisco-Produkten klaffen Sicherheitslücken, für die es nun Patches gibt. Keine Lücke gilt als kritisch.
Wer IP-Telefone und die virtualisierte Softwarearchitektur StarOS des Netzwerkausrüsters Cisco nutzt, sollte zügig die ab sofort verfügbaren Sicherheitspatches installieren. Weitere Produkte, in denen derzeit Schwachstellen klaffen, listet Cisco in seinem Sicherheitscenter auf.
Die Lücke in den IP-Telefonen der Serien 6800, 7800 und 8800 findet sich in der webbasierten grafischen Oberfläche – sie ist mit dem Bedrohungsgrad "hoch" eingestuft. Aufgrund einer mangelnden Überprüfung soll ein authentifizierter Angreifer aus der Ferne Befehle mit den Rechten des angegriffenen Web-Servers ausführen können.
StarOS ist empfänglich für einen DoS-Angriff, ausgelöst durch den Empfang präparierter IPv4-Pakete. Der betroffene Prozess (npusim) soll aber in weniger als einer Sekunde wieder starten, führt Cisco aus. Traffic in der Warteschlange gehe dabei aber verloren.
Noch mehr Sicherheitspatches
Darüber hinaus sind noch Digital Network Architecture Center, Firepower System Software, FireSIGHT System Software und Web Security Appliance verwundbar. Diesen könnten Angreifern mit DoS oder XSS-Attacken zusetzen.
Liste nach Bedrohungsgrad absteigend sortiert:
- Cisco IP Phone 6800, 7800, and 8800 Series with Multiplatform Firmware Web UI Command Injection
- StarOS IPv4 Fragmentation Denial of Service
- Web Security Appliance Cross-Site Scripting
- FireSIGHT System Software File Policy Bypass
- FireSIGHT System Software URL-Based Access Control Policy Bypass
- Digital Network Architecture Center Credential Logging Information Disclosure
- Firepower System Software Detection Engine Denial of Service
- Firepower System Software SSL Denial of Service
- Firepower System Software SSL Denial of Service
(des)