DFN-CERT

Advisory-Archiv

2017-2059: Cisco Voice Operating System (Cisco UCM, Cisco Unity Connection u.a.): Eine Schwachstelle ermöglicht die komplette Kompromittierung des Systems

Historie:

Version 1 (2017-11-16 14:20)
Neues Advisory

Betroffene Software

Netzwerk
Office
Server

Betroffene Plattformen

Cisco

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer mit Zugriff auf ein betroffenes System über SFTP kann eine Schwachstelle in auf Cisco Voice Operating System basierenden Produkten ausnutzen, um 'root'-Rechte zu erlangen und dadurch das System dauerhaft kompromittieren. Zur erfolgreichen Ausnutzung der Schwachstelle ist die Kenntnis eines öffentlich verfügbaren Passworts nötig.

Cisco informiert darüber, dass verschiedene Produkte verwundbar sind, die in der Vergangenheit ein Upgrade über Prime Collaboration Deployment (PCD) oder ein Refresh Upgrade erhalten haben, da die Upgrade-Routinen selbst fehlerhaft sind. Unter anderem sind die Produkte Cisco Unity Connection, Cisco Unified Communications Manager (auch in der Session Management Edition) und der Cisco Unified Communications Manager IM and Presence Service in den Versionen 8.6, 9.0, 9.1, 10.0, 10.5, 11.0, 11.5 und 12.0 betroffen. Weiterhin sind Cisco Finesse und das Cisco Unified Intelligence Center in den Versionen 11.0, 11.5 und 11.6 sowie das Cisco Unified Contact Center Express in den Versionen 10.0(1), 10.5(1), 10.6(1), 11.0(1), 11.5(1) und 11.6(1) betroffen.

Zur Behebung der Schwachstellen stellt Cisco für die einzelnen Produkte sogenannte COP-Dateien zur Verfügung. Alternativ beheben ab sofort Service Updates oder eines der angegebenen Upgrades des unterliegenden Cisco Voice Operating System auf RHEL 5 Update 5 (Version 8.6), RHEL 5 Update 7 (Versionszweig 9.x), RHEL 6 Update 2 (10.x), RHEL 6 Update 5 (11.x) oder CentOS 6 Update 6 (12.x) diese Schwachstelle.

Schwachstellen:

CVE-2017-12337

Schwachstelle in auf Cisco Voice Operating System basierenden Produkten ermöglicht Erlangen von Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.