2018-1426: Cisco WebEx: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-07-19 18:04)
- Neues Advisory
Betroffene Software
Office
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in WebEx Network Recording Player ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und Denial-of-Service-Angriffe mit Hilfe speziell präparierter 'Advanced Recording Format' (ARF)- und 'Webex Recording Format' (WRF)-Dateien. Eine Schwachstelle in WebEx Teams (ehemals Cisco Spark) ermöglicht dem Angreifer ebenfalls die Ausführung beliebigen Programmcodes. Und eine weitere Schwachstelle im Web Framework von Cisco Webex kann für einen Cross-Site-Scripting-Angriff ausgenutzt werden.
Cisco informiert über die Schwachstellen und stellt Sicherheitsupdates bereit. Die schwerwiegende Schwachstelle CVE-2018-0379 im WebEx Network Recording Player wird in den Versionen Cisco Webex Meetings Suite WBS31, WBS32 und WBS33 und den entsprechenden Versionen des Cisco Webex Network Recording Player und Cisco Webex Player WBS31.23, WBS32.15 und WBS33.2 behoben. Für Cisco Webex Meetings Online stehen Webex Network Recording Player und WebEx Player in Version 1.3.35 bereit, für Cisco Webex Meetings Server ist ein Update auf Webex Network Recording Player 3.0MR1 zur Behebung der Schwachstelle erforderlich. Mit diesen Versionen wird wahrscheinlich auch die Schwachstelle CVE-2018-0380 adressiert.
Die weiteren Schwachstellen betreffen laut Hersteller WebEx Teams 2.0.4167 und Cisco Webex Meetings Online 2.0. Informationen zu Sicherheitsupdates sind hier nicht öffentlich, der Status der Schwachstellen wird mit 'behoben' angegeben.
Schwachstellen:
CVE-2018-0379
Schwachstellen in WebEx Network Recording Player ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-0380
Schwachstelle in WebEx Network Recording Player ermöglicht Denial-of-Service-AngriffCVE-2018-0387
Schwachstelle in WebEx Teams ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-0390
Schwachstelle in WebEx ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.