Sicherheitslücke in Cisco-Betriebssystem

Vor einer schweren Sicherheitslücke warnt der US-Netzausrüster Cisco alle Kunden, die Geräte mit dem Internet Operating System (IOS) 11.3 oder höher betreiben. Auf der Cisco-Homepage werden technische Details in einem entsprechenden Dokument erläutert. Auch Experten des Computer Emergency Response Teams (CERT) haben einen Sicherheitshinweis zu diesem Bug auf der CERT-Site veröffentlicht. Cisco hat den Fehler in der neuesten Fassung des IOS behoben.

Der Fehler befinde sich in der http-Serverkomponente innerhalb des Betriebssystems, so das CERT-Dokument. Falls die lokale Authentifizierungs-Datenbank des Betriebsystems verwendet wird, genügt einem Angreifer das Senden einer bestimmten URL, um sich Administratorrechte zu verschaffen. Er kann dann mit höchsten Privilegien auf Cisco-Router in dem betreffenden Netzwerk zugreifen. Als Sofortmaßnahme empfiehlt das CERT-Dokument, die http-Funktion des Servers abzuschalten. Nach Angaben der CERT-Experten ist eine große Zahl von Servern betroffen. (dwi)