DFN-CERT

Advisory-Archiv

2019-1251: Cisco Integrated Management Controller (IMC): Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebiger Befehle

Historie:

Version 1 (2019-06-20 16:56)
Neues Advisory

Betroffene Software

Netzwerk

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Cisco UCS C-Series Server, die mit der Cisco Integrated Management Controller (IMC) Software betrieben werden, sind durch mehrere Schwachstellen verwundbar. Eine Schwachstelle kann von einem lokalen, einfach authentisierten Benutzer, als Angreifer, ausgenutzt werden, um beliebige Befehle mit 'root'-Berechtigung über die Kommandozeile (CLI) zur Ausführung zu bringen. Ein ebensolcher Angreifer kann zwei weitere Schwachstellen für die Durchführung von Denial-of-Service (DoS)-Angriffen verwenden. Zwei Schwachstellen ermöglichen einem entfernten, einfach und nicht authentisierten Angreifer das Ausspähen von Informationen. Ein entfernter, einfach authentisierter Angreifer kann über eine Schwachstelle einen Cross-Site-Request-Forgery (CSRF)-Angriff durchführen und einem entfernten, nicht authentisierten Angreifer ermöglicht eine Schwachstelle das Manipulieren von Dateien.

All diese Schwachstellen hat Cisco über interne Sicherheitstests entdeckt und bestätigt sie für die Cisco Unified Computing System Software Version 4.0(1c)HS3. In einigen der referenzierten Cisco Bug IDs wird die UCS Software 4.0(4b) als bekannte fehlerbereinigte Softwareversion aufgeführt.

Schwachstellen:

CVE-2019-1627

Schwachstelle in Cisco Integrated Management Controller ermöglicht Ausspähen von Informationen

CVE-2019-1628

Schwachstelle in Cisco Integrated Management Controller ermöglicht Denial-of-Service-Angriff

CVE-2019-1629

Schwachstelle in Cisco Integrated Management Controller ermöglicht Manipulation von Dateien

CVE-2019-1630

Schwachstelle in Cisco Integrated Management Controller ermöglicht Denial-of-Service-Angriff

CVE-2019-1631

Schwachstelle in Cisco Integrated Management Controller ermöglicht Ausspähen von Informationen

CVE-2019-1632

Schwachstelle in Cisco Integrated Management Controller ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-1879

Schwachstelle in Cisco Integrated Management Controller ermöglicht Befehlsausführung

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.