2017-1451: Cisco Application Policy Infrastructure Controller (APIC): Zwei Schwachstellen ermöglichen das Eskalieren von Privilegien

Historie:

Version 1 (2017-08-17 12:03)

Neues Advisory

Betroffene Software

Netzwerk

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Zwei Schwachstellen ermöglichen einem entfernten, einfach authentisierten Angreifer sowie einem lokalen, einfach authentisierten Angreifer das Eskalieren von Privilegien. Letzterer kann über die Ausnutzung der Schwachstelle sogar 'Root'-Privilegien erlangen, wodurch dieser die Kontrolle über ein System vollständig übernehmen kann.

Cisco bestätigt die Schwachstellen und stellt für die Versionen vor Version 2.0 sowie für die Versionen 2.1x und 2.2x die Version 2.2(2e) und für die Versionen 2.3x die Version 2.3(1f) als Sicherheitsupdates bereit. Die Version 3.0x ist laut Cisco nicht verwundbar.

Cisco stellt in den Sicherheitsmeldungen, Cisco Bug IDs und CVRF-Dateien teils widersprüchliche Informationen über die betroffenen Versionen zur Verfügung. Laut der Sicherheitsmeldungen sind sämtliche Versionen von der Schwachstelle CVE-2017-6767 und alle Versionen ab Version 1.0(1e) von der Schwachstelle CVE-2017-6768 jeweils bis hin zur ersten behobenen Version betroffen. In den der Sicherheitsmeldungen angehängten CVRF-Dateien finden sich ebenfalls Informationen zu betroffenen Versionen, die sich aber nicht vollständig mit den Angaben aus den Sicherheitsmeldungen decken. Nähere Details entnehmen sie den entsprechenden Dateien.

Schwachstellen:

CVE-2017-6767

Schwachstelle in Cisco Application Policy Infrastructure Controller ermöglicht Privilegieneskalation

CVE-2017-6768

Schwachstelle in Cisco Application Policy Infrastructure Controller ermöglicht Übernahme eines Systems

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.