2018-0944: Cisco TelePresence Server: Eine Schwachstelle ermöglicht einen Cross-Frame-Scripting-Angriff

Historie:

Version 1 (2018-05-17 18:08)

Neues Advisory

Version 2 (2018-08-27 12:48)

Cisco aktualisiert den Sicherheitshinweis und gibt Cisco TelePresence IX5000 Series in der Version 8.2.3 (siehe Cisco Bug ID CSCvj84412) als betroffen an. Der Status wird dort mit 'Fixed' angegeben und es stehen die Cisco TelePresence System Software for IX5000, IX5200 Releases IX8.3.1.1(3) seit 03-MAY-2018 und IX9.0.0(19) seit 23-AUG-2018 zur Verfügung. Für Cisco TelePresence TX9000 Series ist kein Release zur Behebung des Fehlers geplant.

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mittels eines manipulierten IFrames auf einer von ihm kontrollierten Webseite, welche ein Nutzer zuvor besuchen muss, einen Cross-Frame-Scripting (XFS)-Angriff ausführen. Ein Angreifer ist dadurch z.B. in der Lage Klicks zu erlangen (Click-Jacking) oder andere Client-seitigen Browser-basierten Angriffe auszuführen.

Cisco bestätigt die Schwachstelle über die Bug ID CSCun79565 für die System Software Version 10.0(2.98000.99). Zum jetzigen Zeitpunkt steht noch kein Sicherheitsupdate zur Verfügung.

Schwachstellen:

CVE-2018-0326

Schwachstelle in Cisco TelePresence Server ermöglicht Cross-Frame-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.