Cisco dichtet Leck im Secure Access Control Server ab
Cisco schließt mit einer aktualiserten Software-Version Lücken im Secure Access Control Server, durch die Angreifer ohne vorherige Anmeldung fremden Code auf den Server schleusen konnten.
Der Netzwerkausrüster Cisco hat in einer aktualisierten Version des Secure Access Control Server (ACS) eine Sicherheitslücke geschlossen, die Angreifern aus dem Netz das Einschleusen von Schadcode ermöglichte. Zudem behebt die neue Fassung auch eine Cross-Site-Scripting-Lücke.
Der ACS basiert auf einer Sammlung von CGI-Programmen für Microsofts Internet Information Server 6.0. Benutzer können ihre Passwörter etwa über einen Webbrowser ändern, der auf die Komponente Windows User-Changeable Password (UCP) zugreift. Dazu müssen Anwender ihre bisherigen Anmeldedaten angeben und können sie anschließend ändern.
Felix "FX" Lindner hat nun Schwachstellen in dem CGI-Programm /securecgi-bin/CSUserCGI.exe entdeckt, die Angreifer aus dem Netz über HTTP ohne vorherige Anmeldung zum Einschleusen von Schadcode missbrauchen können. Der Fehler beruht auf einer fehlenden Längenprüfung bei der Verarbeitung von an das Programm übergebenen Parametern, wodurch Puffer fester Größe überlaufen können. Zudem filtert die Hilfe-Funktion Benutzerangaben nicht ordentlich, wodurch sich Skriptcode einschleusen lässt, und reisst dadurch eine Cross-Site-Scripting-Lücke auf.
Die Fehler betreffen Ciscos Secure ACS für Windows und die Secure ACS Solution Engine (Appliance), auf denen Software-Versionen vor 4.2 laufen. Registrierte Nutzer sollten die aktuelle Version auf Ciscos Webseite zügig herunterladen und einspielen. Das Unternehmen verlinkt sie in seiner Fehlermeldung.
Siehe dazu auch:
- Sicherheitsmeldung von Felix "FX" Lindner
- Cisco Secure Access Control Server for Windows User-Changeable Password Vulnerabilities, Fehlermeldung von Cisco
(dmk)
