2019-1760: Cisco Integrated Management Controller (IMC): Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes mit Administratorrechten

Historie:

Version 1 (2019-08-22 18:40): Neues Advisory

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, einfach authentisierten Angreifer das Eskalieren von Privilegien, die Ausführung beliebigen Programmcodes mit erhöhten Rechten, die Manipulation von Dateien sowie das Erlangen von Administratorrechten. Zwei weitere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer einen Denial-of-Service (DoS)-Angriff sowie das Ausspähen von Informationen. Ein lokaler, einfach authentisierter Angreifer kann ebenfalls beliebigen Programmcode ausführen.

Cisco informiert über die Schwachstellen in UCS C-Series und S-Series Servers im Standalone Modus, UCS E-Series Servers und 5000 Series Enterprise Network Compute System (ENCS) Platforms mit verwundbaren Releases der Cisco Integrated Management Controller (IMC) Software und gibt an, dass die Schwachstellen in den Versionszweigen 1.5 mit der Version 1.5(9g), 2.0 mit der Version 2.0(13o), 3.0 mit der Version 3.0(4k) und 4.0 mit den Versionen 4.0(1d), 4.0(2c) und 4.0(4b) behoben wurden. Die Schwachstellen CVE-2019-1896 und CVE-2019-1908 betreffen lediglich die Versionszweige 2.0, 3.0 und 4.0. Die Schwachstellen CVE-2019-1850, CVE-2019-1871, CVE-2019-1883 und CVE-2019-1885 betreffen lediglich die Versionszweige 3.0 und 4.0. Und die zwei Schwachstellen CVE-2019-1900 und CVE-2019-1907 betreffen nur den Versionszweig 4.0.