Cisco: Mehrere Produkte von Schwachstelle in freier Programmbibliothek betroffen
Eine Schwachstelle in der C-Library Lasso fürs Single Sign-On (SSO) betrifft verschiedene Cisco-Produkte. Updates sind verfügbar oder in Vorbereitung.
In einem aktuellen Sicherheitshinweis warnt Cisco vor einer Schwachstelle, von der ein hohes Sicherheitsrisiko ausgehen soll. Sie steckt in der SAML-Implementierung (Security Assertion Markup Language) der freien C-Bibliothek Lasso, die in verschiedenen Cisco-Produkten offenbar unter anderem fürs Single Sign-On (SSO) verwendet wird. Ein authentifizierter Angreifer könnte die Schwachstelle CVE-2021-28091 missbrauchen, um sich bei der Interaktion mit einer Anwendung als ein anderer, ebenfalls authentifizierter Nutzer auszugeben.
Als betroffen nennt das Unternehmen im Advisory nach aktuellem Stand die Webinterfaces von Cisco Adaptive Security Appliance (ASA) Software, Content Security Management Appliance (SMA) und Email Security Appliance (ESA) – laut Übersicht jeweils nur bei aktiviertem SSO – sowie FXOS, Cisco Web Security Appliance (WSA), Firepower Threat Defense (FTD) und Cisco Prime Collaboration Assurance. In einigen Fällen sind bereits abgesicherte Versionen verfügbar, in anderen sollen sie in den kommenden Monaten folgen. Workarounds gibt es keine.
Weitere Informationen, inklusive Versionsangaben und Co. sind Ciscos Security Advisory zur Lasso-Schwachstelle zu entnehmen. Der Hersteller untersucht derzeit, ob noch weitere Produkte betroffen sind und will das Advisory später gegebenfalls ergänzen. Es enthält auch eine Übersicht über einige Produkte, die bereits als nicht betroffen identifiziert wurden.
Lasso 2.7.0 abgesichert
Das Lasso-Team nennt in einem Veröffentlichungshinweis zur neuen Library-Version 2.7.0 weitere Details zu CVE-2021-28091. Offenbar fußt(e) die Schwachstelle auf mangelhaften Signaturprüfungen von SAML-Assertions im Falle einer nicht-signierten AuthnResponse-Nachricht: "Currently after the first signed assertion is checked all following assertions are accepted without checking their signature (...)", schreibt das Team. Künftig sollen in einem solchen Szenario die Signaturen sämtlicher Assertions überprüft werden.
Entwickler, die die Lasso-Library für ihre Projekte nutzen, sollten zugunsten der Sicherheit künftig die neue Version verwenden.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ovw)
