DFN-CERT

Advisory-Archiv

2021-1179: Cisco-Produkte, Lasso: Eine Schwachstelle ermöglicht das Erlangen von Benutzerrechten

Historie:

Version 1 (2021-06-01 18:36)
Neues Advisory
Version 2 (2021-06-02 17:41)
Cisco hat den Sicherheitshinweis aktualisiert. Demnach stehen für die Cisco FXOS Software die Versionen 2.2.2.149 (Juli 2021), 2.3.1.216 (Juli 2021), 2.6.1.230 (Juli 2021), 2.7.1.143, 2.8.1.152 und 2.9.1.143 als Sicherheitsupdates zur Verfügung bzw. sollen im Juli 2021 bereitgestellt werden.
Version 3 (2021-06-11 14:28)
Cisco hat den Sicherheitshinweis aktualisiert. Demnach ist die Cisco Firepower Threat Defense (FTD) Software im Feature AnyConnect VPN ebenfalls nur bei aktiviertem Single Sign-On (SSO) betroffen.

Betroffene Software

Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer mit niedrigen Privilegien kann die Schwachstelle aus der Ferne ausnutzen, um bei der Interaktion mit einer Anwendung die Rechte eines anderen autorisierten Benutzers zu erlangen.

Cisco informiert darüber, dass die von Lasso veröffentlichte Schwachstelle mehrere Cisco-Produkte betrifft und stellt Sicherheitsupdates bereit. Die Sicherheitsmeldung soll fortlaufend aktualisiert werden.

Cisco Adaptive Security Appliance (ASA) Software ist in den Features Clientless WebVPN und AnyConnect VPN (nur bei aktiviertem Single Sign-On, SSO) betroffen und die folgenden Versionen werden als fehlerbereinigt aufgeführt: 9.8.4.38 (Juni 2021), 9.12.4.24, 9.14.3 (Juni 2021), 9.15.1.15 und 9.16.1.3.

In Cisco Content Security Management Appliance (SMA) ist nur bei aktiviertem SSO die Web-basierte Verwaltungsschnittstelle betroffen, die Versionen 13.8.1 und 14.1.0 (Juli 2021) werden zur Fehlerbehebung bereitgestellt.

In Cisco Email Security Appliance (ESA) ist wiederum nur bei aktiviertem SSO die Web-basierte Verwaltungsschnittstelle betroffen und die Version 14.0.0-692 GD steht als Sicherheitsupdate zur Verfügung.

Für die Cisco FXOS Software stehen die Versionen 2.3.1.216, 2.7.1.143, 2.8.1.152 und 2.9.1.143 zur Verfügung; weitere Versionen sollen noch erstellt werden.

Für Cisco Web Security Appliance (WSA) wird Version 14.0.1 angekündigt (September 2021).

Cisco Firepower Threat Defense (FTD) Software ist im Feature AnyConnect VPN betroffen und es stehen die Versionen 6.4.0.12, 6.6.5 (Juli 2021), 6.7.0.2 und 7.0.0 als Sicherheitsupdates bereit.

Cisco Prime Collaboration Assurance ist ebenfalls betroffen, die Version 12.1 SP4 ES ist noch nicht verfügbar.

Schwachstellen:

CVE-2021-28091

Schwachstelle in Lasso SAML Implementation ermöglicht Erlangen von Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.