Ciscos Unified Computing System anfällig für Schad-Code
Im Unified Computing System Performance Manager klafft eine kritische Sicherheitslücke. Admins sollten die verfügbare abgesicherte Version zügig installieren.
Das Web Framework von Ciscos Unified Computing System (UCS) Performance Manager ist bis zur Version 2.0.0 verwundbar. Cisco stuft den Bedrohungsgrad in einer Sicherheits-Warnung als kritisch ein; die Lücke weist einen CVSS Score von 9.0 von 10 auf. Ein Sicherheits-Update steht zum Download bereit.
Aufgrund einer ungenügenden Überprüfung können Angreifer Schad-Code auf betroffene Server schieben und ausführen. Das kann Cisco zufolge aus der Ferne gelingen, ein Angreifer müsse dafür aber authentifiziert sein. Ist das der Fall, könne er einen Übergriff mittels einer manipulierten HTTP-GET-Anfrage einleiten, um eigenen Code mit Root-Rechten auszuführen.
Um die Sicherheitslücke abzusichern, existiert kein Workaround; einzig die Installation der abgesicherten Version des UCS Performance Managers 2.0.1 schafft Abhilfe. (des)