zurück zum Artikel

Der Netzwerkausrüster Cisco hat wichtige Sicherheitsupdates für verschiedene Produkte veröffentlicht.

Ciscos System zum Verteilen von Videos an TV-Gerätverbünde Vision Dynamic Signage Director (VDSD) ist über eine als "kritisch" eingestufte Sicherheitslücke (CVE-2019-1917) angreifbar. Sicherheitsupdates schaffen Abhilfe.

Darüber hinaus hat der Netzwerkausrüster noch abgesicherte Software für unter anderm verschiedene IP-Telefone, Switches und Router veröffentlicht. Die damit geschlossenen Schwachstellen sind mit dem Bedrohungsgrad "hoch" oder "mittel" eingestuft.

Mittels präparierter HTTP-Anfragen an die REST API von VDSDS könnte ein entfernter unangemeldeter Angreifer die Authentifizierung von zugrundeliegenden System komplett umgehen und so Admin-Rechte erhalten. Davor warnt Cisco in einer Sicherheitswarnung [1].

Weitere Schwachstellen

Des Weiteren weist die FindIT Network Management Software statische Zugangsdaten auf und ein Angreifer könnte so Root-Rechte erlangen. Die IOS Access Points Software 802.11r ist anfällig für DoS-Attacken. Außerdem könnten Angreifer noch Switches umleiten und auf einigen IP-Telefonen lokal Schadcode ausführen. Weitere Sicherheitslücken bieten Ansatzpunkte für XXS-Attacken. Auch eigentlich abgeschottete Informationen könnten nach einem erfolgreichen Angriff leaken.

Liste nach Bedrohungsgrad absteigend sortiert:

• Vision Dynamic Signage Director REST API Authentication Bypass [2]
• FindIT Network Management Software Static Credentials [3]
• IOS Access Points Software 802.11r Fast Transition Denial of Service [4]
• Small Business SPA500 Series IP Phones Local Command Execution [5]
• Identity Services Engine Cross-Site Scripting [6]
• Industrial Network Director Web Services Management Agent Unauthorized Information Disclosure [7]
• Small Business Series Switches Open Redirect [8]
• Identity Services Engine Blind SQL Injection [9]

(des [10])

URL dieses Artikels:
https://www.heise.de/-4474438

Links in diesem Artikel:
[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-cvdsd-wmauth
[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-cvdsd-wmauth
[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-cfnm-statcred
[4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-aironet-dos
[5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-spa500-command
[6] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-ise-xss
[7] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-wsma-info
[8] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-sbss-redirect
[9] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-ise-sql-inject
[10] mailto:des@heise.de

Copyright © 2019 Heise Medien