2019-0163: Cisco Identity Services Engine (ISE): Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2019-01-24 15:28)

Neues Advisory

Version 2 (2019-09-18 20:22)

Cisco aktualisiert seiner Sicherheitshinweis cisco-sa-20190123-ise-privilege um die Information, dass für die Version 2.1.0 der Patch 9 als Sicherheitsupdate bereitsteht und direkt vom ISE Entwicklungsteam bezogen werden kann. Dazu muss Kontakt mit dem Cisco Technical Assistance Center (TAC) aufgenommen werden.

Betroffene Software

Netzwerk
Sicherheit

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Eine Schwachstelle in Cisco Identity Services Engine (ISE) ermöglicht einem entfernten, einfach authentifizierten und als Administrator an betroffenen Systemen angemeldeten Angreifer die Erstellung weiterer Administratorkonten und die Durchführung von Aktionen mit deren Berechtigungen. Eine weitere Schwachstelle im Admin-Portal der Software ermöglicht einem entfernten, einfach authentifizierten Angreifer mit Zugang zur Weboberfläche von Cisco Identity Services Engine das Ausspähen von Informationen, die zur Nachahmung oder Kompromittierung privilegierter Benutzerkonten eingesetzt werden können. Zusätzlich kann ein entfernter, nicht authentisierter Angreifer einen Cross-Site-Scripting (XSS)-Angriff gegen Administratoren der Software ausführen.

Cisco informiert über die Schwachstellen und stellt Sicherheitsupdates zu deren Behebung bereit. Die laut Hersteller schwerwiegendste Schwachstelle CVE-2018-15459 betrifft Cisco Identity Services Engine in allen Versionen vor 2.2.0 und in den Versionszweigen 2.2.0, 2.2.1, 2.3 und 2.4. Als Sicherheitsupdates stehen die Versionen 2.2.0 Patch 10, 2.2.1 Patch 1, 2.3 Patch 5 und 2.4 Patch 2 zur Verfügung. Informationen zu betroffenen und nicht betroffenen Versionen für die Schwachstellen CVE-2018-0187 und CVE-2018-15455 werden über die jeweiligen Cisco Bug IDs veröffentlicht.

Schwachstellen:

CVE-2018-0187

Schwachstelle in Cisco Identity Services Engine ermöglicht Ausspähen von Informationen

CVE-2018-15455

Schwachstelle in Cisco Identity Services Engine Logging ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-15459

Schwachstelle in Cisco Identity Services Engine ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.