2017-1164: Cisco StarOS: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes mit Administratorrechten

Historie:

Version 1 (2017-07-06 12:26)

Neues Advisory

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Hardware
Netzwerk
Cisco
Virtualisierung

Beschreibung:

Ein entfernter, einfach über SSH authentifizierter Angreifer und ein lokaler, einfach über die Konsole authentifizierter Angreifer ohne administrative Privilegien können mehrere Kommandozeilenbefehle von Cisco StarOS ausnutzen, um aus der StarOS-Kommandozeile auszubrechen und dadurch beliebige Shell-Befehle als Linux-Benutzer 'root' auf dem System ausführen.

Cisco bestätigt die Schwachstelle für Cisco Aggregated Services Router der Serien Cisco ASR 5000, 5500 und 5700 sowie die Virtualized Packet Core-Distributed Instance (VPC-DI) und Virtualized Packet Core-Single Instance (VPC-SI) Software, in denen StarOS eingesetzt wird.

Als Sicherheitsupdates für Cisco ASR 5000, 5500 und 5700 stehen die StarOS-Versionen 18.7.6, 19.6.5, 20.2.9 und 21.1.1 für die jeweiligen Versionszweige bereit. Die Cisco VPC Software kann von Version N4.x an durch ein Update auf Version 5.0.3 oder 5.1 und von Version N5.0 durch ein Update auf Version 5.0.3 abgesichert werden.

Schwachstellen:

CVE-2017-6707

Schwachstelle in Cisco StarOS ermöglicht Ausführung beliebigen Programmcodes mit Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.