2019-0373: Cisco HyperFlex: Mehrere Schwachstellen ermöglichen u. a. die komplette Systemübernahme
Historie:
- Version 1 (2019-02-21 15:20)
- Neues Advisory
- Version 2 (2019-10-24 11:27)
- Cisco aktualisiert den Sicherheitshinweis zu CVE-2018-15380 und weist darauf hin, dass die Schwachstelle anders als bisher angegeben erst mit Cisco HyperFlex 3.5(2g) behoben wird.
Betroffene Software
Netzwerk
Server
Betroffene Plattformen
Hardware
Cisco
VMware
Beschreibung:
Eine Schwachstelle in der Cisco HyperFlex Software ermöglicht einem nicht authentisierten Angreifer im benachbarten Netzwerk die Ausführung beliebiger Befehle mit Rechten von 'root' auf einem betroffenen HyperFlex-Host. Eine weitere Schwachstelle ermöglicht einem lokalen, einfach authentifizierten Angreifer den Zugriff auf alle Knoten eines HyperFlex-Clusters mit diesen Rechten. Darüber hinaus bestehen zwei Schwachstellen in der Software, die einem entfernten, nicht authentisierten Angreifer einen Cross-Site-Scripting (XSS)-Angriff und das Ausspähen von über Graphite erstellten Statistiken ermöglichen. Eine weitere Schwachstelle ermöglicht einem lokalen, nicht authentifizierten Angreifer die Manipulation solcher Statistiken.
Cisco informiert über die Schwachstellen und stellt Cisco HyperFlex 3.5(2a) zur Behebung der beiden schwerwiegenden Schwachstellen CVE-2018-15380 und CVE-2019-1664 bereit. Es ist davon auszugehen, dass auch die anderen Schwachstellen mit dieser Version behoben werden.
Schwachstellen:
CVE-2018-15380
Schwachstelle in Cisco HyperFlex ermöglicht komplette SystemübernahmeCVE-2019-1664
Schwachstelle in Cisco HyperFlex ermöglicht komplette SystemübernahmeCVE-2019-1665
Schwachstelle in Cisco HyperFlex ermöglicht Cross-Site-Scripting-AngriffCVE-2019-1666
Schwachstelle in Cisco HyperFlex ermöglicht Ausspähen von InformationenCVE-2019-1667
Schwachstelle in Cisco HyperFlex ermöglicht Manipulation von Daten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.