2016-1181: Cisco ASR 5000: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2016-07-22 16:01)

Neues Advisory

Betroffene Software

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Eine kritische Schwachstelle im Code-Erzeugungsmodul des Objective Systems ASN1C Compilers existiert aufgrund einer fehlerhaften Implementierung des Telefonie-Standards Abstract Syntax Notation One (ASN.1). Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, indem er eine präparierte, schädliche ASN.1 kodierte Nachricht sendet, um gegen Geräte, auf denen eine mit dem fehlerhaften Compiler gebaute und deshalb anfällige Anwendung läuft, einen Denial-of-Service (DoS)-Angriff durchzuführen oder auf diesem beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen.

Diese Sicherheitslücke betrifft aufgrund der weitreichenden Verwendung des Objective Systems ASN1C Compilers sehr wahrscheinlich zahlreiche Hersteller von Geräten für Telefonie-Infrastrukturen und Smartphones (siehe dazu auch Heise Security Artikel).

Der Hersteller Objective Systems Inc. hat diese Schwachstelle in einem Interim Release des ASN1C v7.0.1 Compilers behoben, der Kunden auf Anfrage zur Verfügung gestellt wird. Das anstehende Release von ASN1C v7.0.2 wurde als Sicherheitsupdate angekündigt.

Cisco bestätigt die Betroffenheit von Cisco ASR 5000 Geräten mit StarOS Versionen 17.x, 18.x, 19.x und 20.x sowie Cisco Virtualized Packet Core Systemversionen V18.x, V19.x und V20.x, hat aber derzeit noch keine Sicherheitsupdates bereitgestellt.

Schwachstellen:

CVE-2016-5080

Schwachstelle in ASN.1 Implementierung ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.