Jetzt updaten: Cisco schiebt Update für Security-Manager-Lücke von November nach
Für eine Sicherheitslücke mit "High"-Einstufung im Security Manager stand noch ein Fix aus. Da Proof-of-Concept-Code online ist, sollten Nutzer jetzt handeln.
Bereits Mitte vergangenen Monats hatte Netzwerkausrüster Cisco auf insgesamt drei Sicherheitslücken in seinem "Security Manager" zur zentralen Verwaltung und Überwachung von Sicherheitsprodukten hingewiesen. Zwei der Lücken waren im Zuge der Veröffentlichung der neuen Security Manager-Version 4.22 geschlossen worden. Ein Update zum Beheben von CVE-2020-27131 (Risikoeinstufung "High", CVSS-Score 8.1) stand allerdings noch aus, und auch Workarounds hatte der Hersteller nicht genannt.
Weiterlesen nach der Anzeige
Wie heise online in einem Alert zu den Cisco-Lücken berichtet hatte, wollte Cisco ursprünglich erst in die kommende Version 4.23 einen Fix einbauen. Nun fährt das Unternehmen eine etwas andere Strategie: Das Cisco Security Manager Release 4.22 Service Pack 1 beseitigt das Sicherheitsproblem. Weitere Informationen finden Cisco-Kunden im Advisory:
Die ID CVE-2020-27131 fasst Sicherheitsmängel bei der Verarbeitung übermittelter Inhalte (Java-Deserialisierung) zusammen. Entfernte, unauthentifizierte Angreifer hätten diese laut Cisco unter bestimmten Voraussetzungen zum Ausführen beliebiger Befehle auf betroffenen Systemen missbrauchen können.
Das frisch veröffentlichte Service Pack sollte auch deshalb zeitnah angewendet werden, weil der Lücken-Entdecker Florian Hauser alias frycos bereits Mitte November, zu dem Zeitpunkt also, als Ciscos Advisory erschien, Proof-of-Concept-Code bei GitHub veröffentlicht hat. Er beklagte die fehlende Rückmeldung und Aktivität des Herstellers während des vorangegangen Responsible-Disclosure-Prozesses sowie die Tatsache, dass Version 4.22 trotz seiner Hinweise noch immer keinen Fix enthielt.
Weiterlesen nach der Anzeige
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden.
Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden.
Mehr dazu in unserer
Datenschutzerklärung.
Über 90.000 Leser vertrauen bereits darauf – wählen Sie jetzt Ihr passendes Paket!
Mit heise+ lesen Sie alle Inhalte auf heise online. Zusätzlich zu unseren Magazin-Inhalten erhalten Sie damit weitere exklusive Tests, Ratgeber und Hintergründe.
