2018-2271: Cisco, Apache Struts: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-11-08 11:57)

Neues Advisory

Version 2 (2018-11-12 12:06)

Cisco identifiziert u. a. die Produkte Cisco Identity Services Engine (ISE) vor Version 2.5, Emergency Responder und Unified Communication Manager (und IM & Presence Service) vor Version 12.5.1, Hosted Collaboration Solution for Contact Center, Unified Contact Center Enterprise und Unified Intelligent Contact Management Enterprise vor Version 12.0 sowie Virtualized Voice Browser als verwundbar gegenüber der Schwachstelle. Software Updates zur Behebung stehen bislang noch nicht bereit werden jedoch für Dezember 2018 und Januar 2019 angekündigt. Nutzern wird empfohlen sich die Temine für ihr jeweiliges Produkt zu notieren um zeitnah nach einem entsprechenden Software Update zu suchen.

Version 3 (2018-11-13 14:34)

Cisco hat seinen Sicherheitshinweis erneut aktualisiert und untersucht weitere Produkte hinsichtlich ihrer Verwundbarkeit. Für Cisco Hosted Collaboration Mediation Fulfillment steht die Version 11.5(4) als Sicherheitsupdate zur Verfügung und für Cisco Unity Connection wird die Version 12.5.1 für Dezember 2018 angekündigt.

Version 4 (2018-11-15 16:57)

Cisco hat seinen Sicherheitshinweis erneut aktualisiert und untersucht weitere Produkte hinsichtlich ihrer Verwundbarkeit. Unter anderem die Produkte Cisco Finesse, Prime Service Catalog, Smart Net Total Care - Contracts Information System Process Controller, Unified Intelligence Center, Virtualized Voice Browser, Webex Event Center, Webex Management - SuperAdmin Control Panel und Webex Meetings wurden als verwundbar gegenüber der Schwachstelle identifiziert, ohne Hinweise auf ausstehende Sicherheitsupdates. Für die weiteren Produkte, welche als verwundbar identifiziert wurden, stehen bereits Informationen zu Sicherheitsupdates bereit: Prime Collaboration Provisioning benötigt ein Update auf Version 12.6 (Verfügbarkeit November 2018), Prime Infrastructure benötigt ein Update auf Version 3.5 (Verfügbarkeit Dezember 2018). Für Unified Contact Center Express stehen für die Versionszweige 11.5 und 11.6 Sicherheitsupdates bereit (Verfügbarkeit November 2018) für den Versionszweig 12.0 wird das Sicherheitsupdate erst im Januar 2018 bereitgestellt. Für Cisco Meetings Server wird im Dezember 2018 die Version 3.0MR2 Security Patch 2 als Sicherheitsupdate veröffentlicht. Nutzern wird empfohlen im Zweifelsfall im Cisco Software Download Center nach einem geeigneten Update für ihr Produkt zu suchen.

Version 5 (2018-11-19 12:01)

Cisco identifiziert weitere verwundbare Produkte: Cisco Prime Network, Prime Network Registrar IP Address Manager (IPAM) und Mobility Services Engine. Bislang stehen keine Informationen bereit, wann ein Patch für diese Schwachstellen bereit steht. Für Prime Network Registrar ist laut Cisco kein Sicherheitsupdate geplant.

Version 6 (2018-11-21 16:48)

Cisco informiert darüber, dass Cisco Unified Web und Email Interaction Manager von der Schwachstelle betroffen sind. Hierfür werden keine Patches veröffentlicht. Zur Behebung der Schwachstelle wird Cisco Prime Service Catalog 12.1 v7 im Dezember 2018 zur Verfügung gestellt. Weitere Patches werden für Cisco Unified Intelligence Center 11.5 und 11.6 (Dezember 2018) und 12.0.1 (Januar 2019) angekündigt.

Version 7 (2018-11-22 11:35)

Cisco stellt Informationen zu weiteren Sicherheitsupdates zur Behebung der Schwachstelle bereit. Unter anderem werden für Cisco Identity Services Engine (ISE) die Versionen 2.2 Patch 12 (November 2018), 2.3 Patch 6 (Februar 2019), 2.4 Patch 5 (November 2018) und 2.5 (Dezember 2018) angekündigt. Für Version 2.3 Patch 5 steht ein Hot Patch zur Verfügung. Cisco Prime Infrastructure erhält die Updates 3.3.1 Update 03 und 3.4.1 Update 02 im Januar 2019 sowie 3.5 im Dezember 2018. Im Dezember werden ebenfalls Sicherheitsupdates für Cisco Webex Meetings Server bereitgestellt, dies sind die Versionen 2.8MR3 Security Patch 1 und 3.0MR2 Security Patch 2. Cisco kündigt darüber hinaus an, dass Cisco Webex Meetings im Dezember durch den Hersteller abgesichert wird.

Version 8 (2018-11-23 13:59)

Cisco stellt Informationen zu weiteren Sicherheitsupdates zur Behebung der Schwachstelle bereit. Für Cisco Enterprise Chat and Email wird Verrsion 12.0.1 (Januar 2019) angekündigt und für die Cisco Webex Centers - Meeting Center, Training Center, Event Center, Support Center soll Version T33.7.2 (Dezember 2018) die Schwachstelle beheben.

Version 9 (2018-12-06 15:21)

Cisco veröffentlicht die finale Version des Advisories und gibt bekannt, dass ein Sicherheitsupdate für Cisco Webex Management - SuperAdmin Control Panel auf Version T33.7.2 im Dezember 2018 bereitgestellt wird. Das Sicherheitsupdate für Cisco Mobility Services Engine wird ebenfalls für Dezember 2018 angekündigt; Informationen zur Version des gefixten Releases stehen nicht zur Verfügung. Nutzern wird in jedem Fall geraten im Cisco Software Download Center nach einem geeigneten Sicherheitsupdate zu suchen. Das Software Download Center für ein spezielles Produkt kann unter der jeweiligen BugID im Cisco Advisory geöffnet werden.

Version 10 (2019-01-17 13:53)

Cisco informiert, dass die Schwachstelle in Cisco Prime Infrastructure Version 3.3.1 Update 03 nicht behoben wurde, sondern dies erst in Version 3.3.1 Update 04 geschieht, welches für Februar 2019 angekündigt ist.

Version 11 (2019-02-08 10:37)

Cisco informiert darüber, dass die Schwachstelle in Cisco Prime Infrastructure erst mit Version 3.4.1 Update 03 behoben wird. Ursprünglich war hier Version 3.4.1 Update 02 angegeben. Weiterhin wurde in der Übersichtstabelle an mehreren Stellen fälschlicherweise Januar 2018 als Zielzeitpunkt für die Verfügbarkeit von Updates angegeben. Gemeint war Januar 2019.

Betroffene Software

Netzwerk
Office
Server
Sicherheit

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Eine Schwachstelle in Apache Commons FileUpload Version 1.3.2, das unter anderem in Apache Struts in Cisco Produkten verwendet wird, ermöglicht einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes.

Ein Exploit der Schwachstelle ist bislang noch nicht im Umlauf. Allerdings wird es nach der Warnung der Entwickler von Apache Struts vom 05.11.2018 sehr wahrscheinlich nicht mehr lange dauern, bis die Schwachstelle aktiv ausgenutzt wird.

Cisco stuft die Schwachstelle als 'kritisch' ein und analysiert derzeit seine Produktpalette auf Verwundbarkeit gegenüber der Schwachstelle. Bislang gibt es noch keine Informationen zu verwundbaren bzw. nicht verwundbaren Produkten.

In den kommenden Wochen wird dieses Advisory immer wieder dem aktuellen Untersuchungsstand von Cisco angeglichen.

Schwachstellen:

CVE-2016-1000031

Schwachstelle in Apache Commons FileUpload ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.