Cisco warnt vor Server-Übernahme und patcht diverse Lücken
Verschiedene Produkte von Cisco weisen Schwachstellen auf, für die nun Sicherheits-Updates verfügbar sind. Eine Lücke ist als kritisch eingestuft.
Admins, die den WebEX Meetings Server von Cisco in der Verison 2.6 betreiben, sollten zügig Patches einspielen, um zwei Sicherheitslücken zu schließen. Den Bedrohungsgrad einer Lücke stuft das Unternehmen als kritisch ein; die zweite Schwachstelle mit hoch. Zudem warnt das US-CERT vor sieben weiteren Sicherheitslücken in diversen Cisco-Produkten. Die Schwachstellen weisen allesamt den Bedrohungsgrad mittel auf.
Setzt ein Angreifer bei der kritischen Lücke an, könne er Sicherheits-Mechanismen umgehen, mit erhöhten Rechten Schadcode auf WebEx Meetings Server schieben und im schlimmsten Fall ganze Systeme kapern, erläutert Cisco. Das soll ohne Authentifizierung klappen, jedoch nur, wenn sich der anvisierte Host in einer Demilitarized Zone (DMZ) befindet.
Im Zuge einer ungenauen Sicherheits-Prüfung der Nutzer-Accounts von WebEXD Meetings Servern können Angreifer ohne Authentifizierung aus der Ferne Systeme über DoS-Attacken lahmlegen, warnt das Unternehmen. Beide Lücken sind in der Version 2.7 geschlossen.
Darüber hinaus klaffen weitere Schwachstellen im Carrier Routing System (CRS), Fog Director for IOx, Unified Computing System (UCS) und Web Security Appliance (WSA). Angreifer können die Lücken zum Beispiel für DoS-Attacken oder Erhöhung von Nutzer-Rechten missbrauchen. (des)
