2018-1639: Cisco Unified Communications, TelePresence Video Communication Server: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-08-16 14:15)

Neues Advisory

Version 2 (2018-09-05 12:22)

Cisco weist darauf hin, dass das erste Release zur Behebung der Schwachstelle in Cisco CUCM IM&P Service 12.0(1) die Version 12.0.1.21000-3 und nicht wie zunächst angegeben die Version 12.0.1.12000-3 ist. Diese Version steht nicht öffentlich über die Webseite zur Verfügung. Anwender werden gebeten, sich an das zuständige Technical Assistance Center zu wenden, um das Update zu erhalten.

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Hardware
Netzwerk
Cisco

Beschreibung:

Eine Schwachstelle (CVE-2018-0409) ermöglicht einem entfernten, nicht authentisierten Angreifer einen kompletten Denial-of-Service (DoS)-Zustand zu bewirken. Eine weitere Schwachstelle (CVE-2018-0386) ermöglicht einem solchen Angreifer die Ausführung eines Cross-Site-Scripting (XSS)-Angriffes. Der Schweregrad der Denial-of-Service-Schwachstelle wird von Cisco mit 'high' bewertet.

Für Cisco Unified Communications Manager IM & Presence Service (CUCM IM&P) werden abhängig vom Versionszweig verschiedene Sicherheitsupdates zur Behebung der Schwachstelle CVE-2018-0409 angegeben: Für die Versionen 10.5(1) und frühere, 11.0(1) und 11.5(1) steht das Sicherheitsupdate 11.5(1)SU4 bereit. Für die Version 10.5(2) wird das Sicherheitsupdate 11.5(2)SU angekündigt, welches noch nicht zur Verfügung steht. Für die Version 12.0(1) wird das Sicherheitsupdate 12.0.1.12000-3 referenziert, welches noch nicht öffentlich verfügbar ist.

Für Cisco TelePresence Video Communication Server (VCS) steht die Version X8.11 zur Behebung der Schwachstelle CVE-2018-0409 bereit.

Ein Sicherheitsupdate zur Behebung der Schwachstelle CVE-2018-0386 steht derzeit nicht zur Verfügung. Nutzern wird geraten sich direkt mit Cisco in Verbindung zu setzen.

Schwachstellen:

CVE-2018-0386

Schwachstelle in Cisco Unified Communications Domain Manager ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-0409

Schwachstelle in Cisco Unified Communications Manager IM and Presence Service ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.