Jetzt updaten: Cisco schiebt Update für Security-Manager-Lücke von November nach
Für eine Sicherheitslücke mit "High"-Einstufung im Security Manager stand noch ein Fix aus. Da Proof-of-Concept-Code online ist, sollten Nutzer jetzt handeln.
Bereits Mitte vergangenen Monats hatte Netzwerkausrüster Cisco auf insgesamt drei Sicherheitslücken in seinem "Security Manager" zur zentralen Verwaltung und Überwachung von Sicherheitsprodukten hingewiesen. Zwei der Lücken waren im Zuge der Veröffentlichung der neuen Security Manager-Version 4.22 geschlossen worden. Ein Update zum Beheben von CVE-2020-27131 (Risikoeinstufung "High", CVSS-Score 8.1) stand allerdings noch aus, und auch Workarounds hatte der Hersteller nicht genannt.
Wie heise online in einem Alert zu den Cisco-Lücken berichtet hatte, wollte Cisco ursprünglich erst in die kommende Version 4.23 einen Fix einbauen. Nun fährt das Unternehmen eine etwas andere Strategie: Das Cisco Security Manager Release 4.22 Service Pack 1 beseitigt das Sicherheitsproblem. Weitere Informationen finden Cisco-Kunden im Advisory:
Proof-of-Concept-Code öffentlich verfügbar
Die ID CVE-2020-27131 fasst Sicherheitsmängel bei der Verarbeitung übermittelter Inhalte (Java-Deserialisierung) zusammen. Entfernte, unauthentifizierte Angreifer hätten diese laut Cisco unter bestimmten Voraussetzungen zum Ausführen beliebiger Befehle auf betroffenen Systemen missbrauchen können.
Das frisch veröffentlichte Service Pack sollte auch deshalb zeitnah angewendet werden, weil der Lücken-Entdecker Florian Hauser alias frycos bereits Mitte November, zu dem Zeitpunkt also, als Ciscos Advisory erschien, Proof-of-Concept-Code bei GitHub veröffentlicht hat. Er beklagte die fehlende Rückmeldung und Aktivität des Herstellers während des vorangegangen Responsible-Disclosure-Prozesses sowie die Tatsache, dass Version 4.22 trotz seiner Hinweise noch immer keinen Fix enthielt.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ovw)
