DFN-CERT

Advisory-Archiv

2018-2582: Cisco Adaptive Security Appliance (ASA) Software: Eine Schwachstelle ermöglicht die Eskalation von Privilegien

Historie:

Version 1 (2018-12-19 18:58)
Neues Advisory
Version 2 (2019-05-02 13:19)
Der Hersteller gibt in einer Aktualisierung des Sicherheitshinweises weitere Informationen zum Fix für Cisco Bug ID CSCvm53531. Kunden, die Web-Management-Zugriff verwenden, müssen sicherstellen, dass die AAA-Konfiguration (Authentication, Authorization, Accounting - ausgesprochen: 'Triple A') korrekt und komplett ist. Insbesondere muss das AAA Authentication Http Console {LOCAL | <aaa-server>} Kommando vorhanden sein. Für weitere Informationen wird auf die Sektion 'About ASDM Authentication' im Cisco ASA Configuration Guide verwiesen.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein entfernter, einfach authentisierter Angreifer ohne besondere Privilegien (Level 0 oder 1) kann eine Schwachstelle in der Cisco Adaptive Security Appliance Software ausnutzen, um den Inhalt von Dateien in Erfahrung zu bringen, auf dem Gerät vorhandene Software zu ersetzen oder neue zu installieren. Auch das Ausspähen der aktuellen Systemkonfiguration ist auf diese Weise möglich.

Cisco informiert über die Schwachstelle in allen Versionen der Software auf allen Geräten, die zur Verwaltung auf das Web Management zurückgreifen. Zur Behebung der Schwachstelle in den jeweiligen Versionszweigen stehen die Versionen 9.4.4.29, 9.6.4.20, 9.8.3.18, 9.9.2.36 und 9.10.1.7 bereit.

Cisco weist darauf hin, dass Cisco ASA Software vor Version 9.4 sowie in den Versionszweigen 9.5 und 9.7 nicht weiter unterstützt wird und empfiehlt die Migration auf einen noch unterstützten Zweig der Software.

Schwachstellen:

CVE-2018-15465

Schwachstelle in Cisco Adaptive Security Appliance Software ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.