2018-0450: Cisco Secure Access Control System (ACS): Mehrere Schwachstellen ermöglichen u.a. die Übernahme des Systems

Historie:

Version 1 (2018-03-08 11:13)

Neues Advisory

Betroffene Software

Netzwerk
Sicherheit

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe eines manipulierten deserialisierten Java-Objektes beliebigen Programmcode zur Ausführung bringen und damit das System übernehmen. Für Cisco Secure Access Control System (ACS) in der Version 5.0.8.32 Cumulative Patch 7 und 8 muss der Angreifer authentisiert sein, um diese Schwachstelle auszunutzen. Zwei weitere Schwachstelle ermöglichen dem Angreifer mit Hilfe eines manipulierten XML-Dokumentes, welches ein Administrator zuvor importieren muss, Informationen auszuspähen.

Cisco bestätigt die Schwachstellen und stellt den Cumulative Patch 9 für die ACS-Version 5.8.0.32 als Sicherheitsupdate zur Behebung dieser Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2018-0147

Schwachstelle in Cisco Secure Access Control Server (ACS) ermöglicht Übernahme des Systems

CVE-2018-0207 CVE-2018-0218

Schwachstellen in Cisco Secure Access Control Server (ACS) ermöglichen Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.