2017-2161: Cisco WebEx Player, Cisco WebEx: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2017-11-30 14:07)
- Neues Advisory
- Version 2 (2017-11-30 16:24)
- Cisco informiert in einem weiteren Sicherheitshinweis über eine zusätzliche Schwachstelle in verschiedenen Versionen von Cisco WebEx Meeting Center, die es einem entfernten, einfach authentisierten Angreifer ermöglicht, sich mit Hilfe einer speziell präparierten URL mit beliebigen Hosts zu verbinden. Die Versionen T32.8, T32.6 und T31.20 werden als 'Known Fixed Releases' angegeben.
- Version 3 (2017-12-12 13:24)
- Cisco hat den Sicherheitshinweis cisco-sa-20171129-webex-players zwischenzeitlich bezüglich verwundbarer Versionen der Cisco WebEx Business Suite (WBS) und 'First Fixed Releases' aktualisiert.
Betroffene Software
Office
Server
Betroffene Plattformen
Hardware
Cisco
Apple
Linux
Microsoft
VMware
Beschreibung:
Mehrere Schwachstellen im Cisco WebEx Player ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und Denial-of-Service-Angriffe auf Benutzer der Software mit Hilfe speziell präparierter Meeting-Aufnahmen der Dateiformate ARF und WRF. Der Cisco WebEx Network Recording Player kann automatisch installiert werden, wenn die angeforderte Aufnahmedatei auf einem WebEx-Server liegt und ist darüber hinaus Bestandteil des Cisco WebEx Business Suite Clients und des Cisco WebEx Meetings Clients. Außerdem ist auch der Cisco WebEx Meeting Server von einigen der Schwachstellen betroffen.
Darüber hinaus besteht eine Schwachstelle im WebEx Meeting Server, die einem entfernten, nicht authentisierten Angreifer die Manipulation der Willkommensnachricht von Meetings ermöglicht, eine Schwachstelle im WebEx Meeting Center, die der Angreifer für Cross-Site-Scripting-Angriffe nutzen kann und eine weitere Schwachstelle im Cisco WebEx Event Center, die ein entfernter, einfach authentisierter Angreifer ausnutzen kann, um an nicht öffentlichen Meetings teilzunehmen.
Cisco bestätigt die teilweise als kritisch eingestuften Schwachstellen in den Cisco WebEx Playern und stellt aktualisierte Versionen der Player zur manuellen Installation bereit. Die Sicherheitsupdates werden auch automatisch eingespielt, wenn die entsprechenden Versionen des Cisco WebEx Meeting Site Clients T31.14, des Cisco WebEx Business Suite Clients T30.20, T31.14.1 oder T32.2 und des Cisco WebEx Meeting Servers 2.7MR3 installiert werden. Cisco weist darauf hin, dass die Updates kumulativ sind, dass also auch die jeweils nachfolgenden Versionen die Updates enthalten, und gibt weitere Informationen zur verwendeten Versionsnomenklatur bekannt. So bezeichnet beispielsweise die sekundäre Nomenklatur T30 SP32 EP 16 einen Server, der den Client-Build 30.32.16 einsetzt. Die Schwachstellen werden von einer Vielzahl von Cisco Bug IDs abgedeckt, für die eine Übersichtstabelle mit Informationen der zur Behebung benötigten Softwareversion zur Verfügung gestellt wird.
Informationen zu den betroffenen Versionen des Cisco WebEx Meeting Center, Meeting Server und Event Center finden sich in den einzelnen Cisco Bug IDs. Alle genannten Schwachstellen werden als behoben angesehen (Status: Fixed).
Schwachstellen:
CVE-2017-12297
Schwachstelle in Cisco WebEx Meeting Center ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-12359
Schwachstelle in Cisco WebEx Network Recording Player ermöglicht Denial-of-Service-AngriffCVE-2017-12360
Schwachstelle in Cisco WebEx Network Recording Player ermöglicht Denial-of-Service-AngriffCVE-2017-12363
Schwachstelle in Cisco WebEx Meeting Server ermöglicht Darstellung falscher InformationenCVE-2017-12365
Schwachstelle in Cisco WebEx Event Center ermöglicht Ausspähen von InformationenCVE-2017-12366
Schwachstelle in Cisco WebEx Meeting Center ermöglicht Cross-Site-Scripting-AngriffCVE-2017-12367
Schwachstelle in Cisco WebEx Network Recording Player ermöglicht Denial-of-Service-AngriffCVE-2017-12368 CVE-2017-12370 CVE-2017-12371 CVE-2017-12372
Schwachstellen in Cisco WebEx Network Recording Player ermöglichen Ausführung beliebigen ProgrammcodesCVE-2017-12369
Schwachstelle in Cisco WebEx Network Recording Player ermöglicht u.a. Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.