2021-0656: Cisco, OpenSSL: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-03-31 13:38)

Neues Advisory

Version 2 (2021-04-01 10:13)

In einer Aktualisierung des Sicherheitshinweises gibt Cisco an, dass unter anderem Cisco Prime Infrastructure, die Cisco Firepower 4100 Produktserie, Cisco Firepower 9300 Security Appliances und Cisco c800 Series Integrated Services Routers (IOx Feature) ebenfalls von den Schwachstellen betroffen sind. Die Untersuchung des eigenen Produktportfolios dauert an, bisher sind keine Sicherheitsupdates verfügbar.

Version 3 (2021-04-06 10:55)

Cisco gibt an, dass für CVE-2021-3449 ein Exploit öffentlich bekannt ist. Cisco Identity Services Engine (ISE) ist entgegen ersten Angaben nicht von den Schwachstellen betroffen. Als zusätzlich betroffene Produkte werden u. a. Cisco Webex Meetings Server, Cisco Jabber for Mac, Cisco Jabber for Windows, Cisco Webex Meetings for iOS, Cisco Web Security Appliance (WSA), Cisco Nexus 3000 Series Switches (NX-OS 10.1), Cisco Nexus 9000 Series Switches im Standalone NX-OS Mode (NX-OS 10.1), Cisco Business 250 Series Smart Switches, Cisco Business 350 Series Managed Switches und Cisco Unified Contact Center Enterprise genannt. Als Sicherheitsupdate steht Cisco Unified Contact Center Enterprise 12.6(1) zur Verfügung. Cisco Unified Contact Center Enterprise 12.5(1) sowie Cisco Unified Computing System Server 4.2(1) für Cisco UCS B-Series Blade Servers und Cisco Prime Infrastructure 3.9 werden für Mai 2021, Cisco Prime Infrastructure 3.10 für September 2021 als Sicherheitsupdates angekündigt.

Version 4 (2021-04-07 12:51)

Laut Hersteller ist Cisco Digital Network Architecture (DNA) Center ebenfalls von den Schwachstellen in OpenSSL betroffen.

Version 5 (2021-04-09 18:56)

Cisco informiert darüber, dass auch Cisco Business 250 Series Smart Switches von den Schwachstellen betroffen sind. Als Sicherheitsupdates stehen Cisco Jabber 11.4 und 41.4 für iOS bereit. Für April werden Cisco NX-OS 10.1.2 für Cisco Nexus 3000 und 9000 Switches sowie IOS XR 7.3.15 angekündigt. Im Mai sollen dann Cisco Jabber 14.0.1 für macOS und Windows, Cisco Unified Computing System Software 4.2(1a) für Cisco UCS Standalone C-Series Rack Server und Cisco WebEx Meetings Server 4.0MR4 als Sicherheitsupdates folgen.

Version 6 (2021-04-13 11:56)

Cisco informiert darüber, dass die Schwachstellen in Produkten der Produktserien Cisco Firepower 4100 und 9300 mit den Versionen 2.11.1 (bereits verfügbar), 2.10.1 (angekündigt für April 2021) und 2.9.1 MR (Mai 2021) behoben werden. Cisco Jabber für macOS und Windows sind entgegen früheren Hinweisen des Herstellers nicht von den Schwachstellen betroffen.

Version 7 (2021-04-15 12:17)

Cisco informiert darüber, dass Cisco Application Policy Infrastructure Controller (APIC) - Enterprise Module nicht von den Schwachstellen betroffen ist.

Version 8 (2021-04-16 10:14)

Cisco hat für Cisco IOS XR Software, Cisco Firepower 4100 Series und Cisco Firepower 9300 Security Appliances die geplanten Veröffentlichungsdaten der jeweiligen Sicherheitsupdates aktualisiert.

Version 9 (2021-04-21 11:25)

Cisco kündigt Cisco AsyncOS 14.0 für Cisco Web Security Appliances (WSA) (Juni 2021), Cisco IOS XR 7.3.2 (Oktober 2021) und 7.5.1 (Dezember 2021), Software für Smart und Managed Business Switches in Version 3.2.x (März 2022) und Cisco Meeting Server 3.1.3 und 3.2.1 (Mai 2021) als Sicherheitsupdates an. Darüber hinaus werden Cisco IOS und IOS XE mittlerweile ebenfalls als verwundbar angesehen.

Version 10 (2021-04-22 10:44)

Cisco aktualisiert seinen Sicherheitshinweis im Bereich der verwundbaren Produkte. Außerdem wurde die Cisco Bug ID CSCvx82788 und der CVSS Score aus dem Kopfbereich des Dokuments entfernt.

Version 11 (2021-09-14 18:57)

Cisco hat seinen Sicherheitshinweis aktualisiert und nennt unter anderem für die Cisco IOS and IOS XE Software die Verfügbarkeit der fehlerbereinigten Versionen 17.6.1 (Juli 2021), 17.3.4 (Juni 2021) und 17.4.3 (Dezember 2021).

Betroffene Software

Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Cisco informiert über die Schwachstellen und arbeitet derzeit daran, die Produktpalette in anfällige und nicht anfällige Produkte einzuteilen. Weiterhin hat Cisco erste Produkte identifiziert, die verwundbar gegenüber den Schwachstellen sind. Dazu gehören u. a. Cisco Identity Services Engine (ISE), Cisco Threat Grid Appliance M5, Cisco Evolved Programmable Network Manager, Cisco UCS B-Series Blade Servers, Cisco UCS Standalone C-Series Rack Server, Cisco Meeting Server und Cisco Video Surveillance Media Server. Zurzeit stehen noch keine Sicherheitsupdates bereit.

Schwachstellen:

CVE-2021-3449

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2021-3450

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.