zurück zum Artikel

Im Unified Computing System und der Firepower-9000-Serie von Cisco klafft eine kritische Sicherheitslücke. Angreifer können das zur Remotecodeausführung ausnutzen.

Service-Provider und Rechenzentren sollten dringend Patches für Ciscos Firepower 9000 und Unified Computing System (UCS) einspielen, die eine kritische Sicherheitslücke [1] (CVE-2015-6435) schließen, rät Cisco. Die Lücke ist mit dem höchsten CVSS Score 10/10 (Base) eingestuft. Das Unternehmen versichert, dass es bisher noch keine Übergriffe gegeben hat.

Die Schwachstelle klafft dem Unternehmen zufolge in allen Versionen des FX-OS der Firepower-9000-Serie und UCS-Managers. FX-OS ist ab der Version 1.1.2 abgedichtet. Der UCS-Manager erhält die gefixten Versionen 2.2(4b), 2.2(5a) und 3.0(2e). Diese stellt Cisco ab sofort zum Download bereit [2].

Über die Lücke können Angreifer ohne Authentifizierung aus der Ferne auf die Plattformen zugreifen und eigenen Code ausführen, warnt Cisco. Aufgrund eines ungeschützten Aufrufs von Shell-Kommandos im CGI Script kann ein Angreifer Code einschleusen. Dafür müsse dieser eine spezielle HTTP-Anfrage an die Firepower-9000-Serie oder den UCS-Manager senden. (des [3])

URL dieses Artikels:
https://www.heise.de/-3082131

Links in diesem Artikel:
[1] http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160120-ucsm
[2] https://software.cisco.com/download/release.html?mdfid=283612660&softwareid=283655658
[3] mailto:des@heise.de

Copyright © 2016 Heise Medien