Mehrere Cisco-Produkte mit Schwachstellen
In mehreren seiner Produkte hat der Hersteller Sicherheitslücken gemeldet. Updates für Ciscos IOS, PIX und ASA, Firewall Service Module sowie Unified CallManager beheben die Fehler.
Cisco hat in mehreren Produkten Sicherheitslücken gemeldet, die Angreifer zu Denial-of-Service-Angriffen oder zum Ausspähen von Daten missbrauchen können. In den Sicherheitsmeldungen verweist das Unternehmen auf Software-Updates, die die Schwachstellen abdichten.
In Ciscos IOS, PIX und ASA, dem Firewall Service Module sowie dem Unified CallManager setzt der Hersteller eine Kryptographie-Bibliothek eines Drittherstellers ein. Die Bibliothek kommt bei der Verarbeitung manipulierter ASN.1-Objekte aus dem Tritt. Der Fehler kann bei der Authentifizierung etwa via Internet Security Association and Key Management Protocol (ISAKMP), Secure Socket Layer oder Secure Shell auftreten und führt zum Absturz der Geräte.
Eine weitere Fehlermeldung des Herstellers geht detaillierter auf die Sicherheitslücken im IOS-Betriebssystem bei der Verarbeitung bestimmter SSL-Nachrichten ein. Bei der Verwendung von HTTPS, des Firewall-HTTPS-Authentifizierungsproxys, Ciscos Network Security Agent mit SSL-Unterstützung und IOS Clientless SSL VPN (WebVPN) können Angreifer mit präparierten Nachrichten nach einem erfolgreichen Aufbau einer TCP-Verbindung einen Absturz provozieren. Betroffen sind die Nachrichten ClientHello, ChangeCipherSpec und Finished beim Aufbau der SSL-Verbindung.
Weiterhin hat Cisco eine Cross-Site-Scripting-Lücke im CallManager bestätigt. Angreifer können die Webanwendungs-Firewall aufgrund einer fehlerhaften Überprüfung von übergebenen Parametern umgehen und dadurch externe Elemente in die Webseite einbauen.
Für alle gemeldeten Lücken stellt Cisco registrierten Anwendern Software-Updates bereit. Administratoren sollten sie zügig einspielen oder die betroffenen Funktionen deaktivieren, falls eine Aktualisierung der Software nicht möglich ist.
Siehe dazu auch:
- Vulnerability In Crypto Library, Sicherheitsmeldung von Cisco
- Multiple Vulnerabilities in Cisco IOS While Processing SSL Packets, Fehlermeldung von Cisco
- Cisco CallManager Input Validation Vulnerability, Fehlerbericht von Cisco
(dmk)
