DFN-CERT

Advisory-Archiv

2018-0454: Cisco Identity Services Engine (ISE): Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-03-08 12:32)
Neues Advisory

Betroffene Software

Netzwerk
Sicherheit

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Mehrere Schwachstellen in der Cisco Identity Services Engine (ISE) Software ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Cross-Site-Request-Forgery (CSRF)- und Cross-Site-Scripting (XSS)-Angriffen über speziell präparierte URLs, die dazu von Benutzern der Weboberfläche aufgerufen werden müssen. Ein entfernter, einfach authentifizierter Angreifer mit Zugriff auf die Weboberfläche der Software kann eine weitere Schwachstelle ausnutzen, um seine Privilegien zu eskalieren. Darüber hinaus existieren mehrere Schwachstellen, die einem lokalen, einfach authentifizierten Angreifer die Ausführung beliebigen Programmcodes und das Erzeugen eines dauerhaften Denial-of-Service (DoS)-Zustands ermöglichen. Zwei dieser Schwachstellen können nur von einem Angreifer mit Administratorrechten ausgenutzt werden.

Cisco bestätigt die Schwachstellen für verschiedene Versionen der Cisco Identity Services Engine (ISE) Software auf Cisco ISE 3300 Series Appliances und gibt an, dass Sicherheitsupdates zur Verfügung stehen. Informationen zu betroffenen Versionen werden in den Cisco Bug IDs gegeben, die in den jeweiligen Sicherheitshinweisen für die einzelnen Schwachstellen referenziert sind. An gleicher Stelle wird auch ein Link zum Download aktueller Software gegeben.

Schwachstellen:

CVE-2018-0211

Schwachstelle in Cisco Identity Services Engine ermöglicht Denial-of-Service-Angriff

CVE-2018-0212

Schwachstelle in Cisco Identity Services Engine ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-0213

Schwachstelle in Cisco Identity Services Engine ermöglicht Privilegieneskalation

CVE-2018-0214

Schwachstelle in Cisco Identity Services Engine ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-0215 CVE-2018-0216

Schwachstellen in Cisco Identity Services Engine ermöglichen Cross-Site-Request-Forgery-Angriffe

CVE-2018-0221

Schwachstelle in Cisco Identity Services Engine ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.