DFN-CERT

Advisory-Archiv

2018-1426: Cisco WebEx: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-07-19 18:04)
Neues Advisory

Betroffene Software

Office
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in WebEx Network Recording Player ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und Denial-of-Service-Angriffe mit Hilfe speziell präparierter 'Advanced Recording Format' (ARF)- und 'Webex Recording Format' (WRF)-Dateien. Eine Schwachstelle in WebEx Teams (ehemals Cisco Spark) ermöglicht dem Angreifer ebenfalls die Ausführung beliebigen Programmcodes. Und eine weitere Schwachstelle im Web Framework von Cisco Webex kann für einen Cross-Site-Scripting-Angriff ausgenutzt werden.

Cisco informiert über die Schwachstellen und stellt Sicherheitsupdates bereit. Die schwerwiegende Schwachstelle CVE-2018-0379 im WebEx Network Recording Player wird in den Versionen Cisco Webex Meetings Suite WBS31, WBS32 und WBS33 und den entsprechenden Versionen des Cisco Webex Network Recording Player und Cisco Webex Player WBS31.23, WBS32.15 und WBS33.2 behoben. Für Cisco Webex Meetings Online stehen Webex Network Recording Player und WebEx Player in Version 1.3.35 bereit, für Cisco Webex Meetings Server ist ein Update auf Webex Network Recording Player 3.0MR1 zur Behebung der Schwachstelle erforderlich. Mit diesen Versionen wird wahrscheinlich auch die Schwachstelle CVE-2018-0380 adressiert.

Die weiteren Schwachstellen betreffen laut Hersteller WebEx Teams 2.0.4167 und Cisco Webex Meetings Online 2.0. Informationen zu Sicherheitsupdates sind hier nicht öffentlich, der Status der Schwachstellen wird mit 'behoben' angegeben.

Schwachstellen:

CVE-2018-0379

Schwachstellen in WebEx Network Recording Player ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-0380

Schwachstelle in WebEx Network Recording Player ermöglicht Denial-of-Service-Angriff

CVE-2018-0387

Schwachstelle in WebEx Teams ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-0390

Schwachstelle in WebEx ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.