2019-0166: Cisco WebEx Meetings Server, Cisco WebEx Network Recording Player, Cisco WebEx Player, Cisco WebEx Teams: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-01-24 18:21)

Neues Advisory

Version 2 (2019-01-31 11:14)

Cisco weist in einer Aktualisierung des Sicherheitshinweises cisco-sa-20190123-webex-rce (CVE-2019-1637, CVE-2019-1638, CVE-2019-1639, CVE-2019-1640, CVE-2019-1641) darauf hin, dass die Schwachstellen in Webex Business Suite WBS33.6 erst mit Version 33.6.7 behoben werden. Ursprünglich hatte der Hersteller hier Version 33.6.1 genannt.

Version 3 (2019-04-04 17:33)

Cisco aktualisiert seinen Sicherheitshinweis cisco-sa-20190123-webex-teams (CVE-2019-1636) um die Information, dass Methoden zur Ausnutzung der Schwachstelle CVE-2019-1636 öffentlich bekannt sind. Gleichzeitig wird daraufhin gewiesen, dass es über eine schadhafte Ausnutzung bislang keine Berichte gibt.

Betroffene Software

Middleware
Office
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in WebEx Network Recording Player und WebEx Player für Windows ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes mit Hilfe speziell präparierter Advanced Recording Format (ARF)- und WebEx Recording Format (WRF)-Dateien. Eine Schwachstelle in WebEx Teams (ehemals Cisco Spark) ermöglicht dem Angreifer ebenfalls die Ausführung beliebiger Befehle. Zusätzlich kann der Angreifer eine Schwachstelle in Cisco WebEx Meetings Server für einen Cross-Site-Scripting (XSS)-Angriff ausnutzen.

Cisco informiert über die Schwachstellen und stellt Sicherheitsupdates bereit. Die schwerwiegende Schwachstelle CVE-2019-1636 wurde mit der Cisco WebEx Teams Version 3.0.10260 (veröffentlicht am 21. November 21 2018) behoben.

Die schwerwiegenden Schwachstellen CVE-2019-1637, CVE-2019-1638, CVE-2019-1639, CVE-2019-1640 und CVE-2019-1641 im WebEx Network Recording Player und WebEx Player werden für Cisco WebEx Meetings Suite (ehemals Cisco WebEx Business Suite, WBS) WBS32 und WBS33 behoben. Hier stehen die Versionen WBS32.15.33 und WBS33.6.1 sowie WBS33.7.0 als Sicherheitsupdates bereit. Das analoge Sicherheitsupdate für Cisco WebEx Meetings Online ist Version 1.3.40. Für Cisco WebEx Meetings Server ist hierbei ein Update auf WebEx Network Recording Player 2.8MR3 SecurityPatch1 oder 3.0MR2 SecurityPatch2 zur Behebung der Schwachstellen erforderlich.

Cisco macht keine Angaben zu nicht von CVE-2019-1655 betroffenen Versionen von Cisco WebEx Meetings Server, gibt aber an, dass die Schwachstelle behoben ist.

Schwachstellen:

CVE-2019-1636

Schwachstelle in Cisco WebEx Teams ermöglicht Ausführung beliebiger Kommandos

CVE-2019-1637 CVE-2019-1638 CVE-2019-1639 CVE-2019-1640 CVE-2019-1641

Schwachstellen in Cisco WebEx Network Recording Player und Cisco WebEx Player ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-1655

Schwachstelle in Cisco WebEx Meetings Server ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.