2021-2471: Cisco-Produkte, Apache HTTP-Server: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2021-11-25 16:56)

Neues Advisory

Version 2 (2021-11-26 09:15)

Cisco hat den Sicherheitshinweis aktualisiert und informiert darüber, dass auch Cisco TelePresence Video Communication Server (VCS) von den Schwachstellen betroffen ist. Auch hierfür werden als Sicherheitsupdates die Releases X14.0.4 und X14.1 für Dezember 2021 angekündigt. Die Untersuchungen dauern weiterhin an; der Hersteller wird den Sicherheitshinweis erneut aktualisieren, sobald weitere Informationen verfügbar sind.

Version 3 (2021-11-29 08:59)

Cisco hat den Sicherheitshinweis aktualisiert und informiert darüber, dass auch Cisco Prime Collaboration Provisioning von den Schwachstellen und Cisco Security Manager insbesondere von der kritischen Schwachstelle CVE-2021-40438 betroffen sind. Hierfür werden (noch) keine Sicherheitsupdates aufgeführt. Eine Reihe von Produkten listet Cisco inzwischen unter 'nicht verwundbar'. Der Sicherheitshinweis soll weiter aktualisiert werden.

Version 4 (2021-12-02 12:46)

Cisco hat den Sicherheitshinweis aktualisiert und informiert darüber, dass auch Cisco Cloud Services Platform 2100 und Cisco FXOS Software for Firepower 4100/9300 Series Appliances von den Schwachstellen und Cisco Firepower Management Center insbesondere von der kritischen Schwachstelle CVE-2021-40438 betroffen sind. Hierfür werden (noch) keine Sicherheitsupdates aufgeführt. Der Sicherheitshinweis soll weiter aktualisiert werden.

Version 5 (2021-12-03 12:36)

Cisco aktualisiert das referenzierte Security Advisory erneut und bestätigt die Verwundbarkeit der Cisco Policy Suite und der Cisco Unified Computing System Central Software. Patches stehen noch nicht zur Verfügung und sind auch noch nicht angekündigt. Die Sicherheitsupdates für die Cisco Expressway Series und Cisco TelePresence Video Communication Server (VCS) in Form der Version X14.0.4 werden jetzt als verfügbar angegeben.

Version 6 (2021-12-06 08:46)

Cisco aktualisiert das referenzierte Security Advisory erneut und bestätigt die Verwundbarkeit von Cisco Wide Area Application Services (WAAS), Cisco Prime Infrastructure und Cisco UCS Director Bare Metal Agent. Patches stehen noch nicht zur Verfügung und sind auch noch nicht angekündigt.

Version 7 (2021-12-09 09:05)

Cisco aktualisiert das referenzierte Security Advisory erneut und bestätigt die Verwundbarkeit von Cisco UCS Manager. Für einige verwundbare Produkte stehen inzwischen Sicherheitsupdates zur Verfügung oder werden angekündigt: Cisco Firepower Management Center 7.0.2 (Mai 2022) und 7.1.0.1 (Mai 2022), Cisco Policy Suite 22.1 (März 2022), Cisco Prime Infrastructure 3.10 (verfügbar), Cisco Security Manager 4.25 (Juni 2021, gemeint ist möglicherweise Juni 2022), Cisco Expressway Series 14.0.4 (verfügbar) und 14.1 (noch kein Datum genannt) sowie Cisco TelePresence Video Communication Server (VCS) 14.0.4 (verfügbar) und 14.1 (noch kein Datum genannt).

Version 8 (2021-12-21 15:14)

Mit der Veröffentlichung 1.7 der referenzierten Sicherheitsmeldung informiert Cisco darüber, dass die Cisco Wide Area Application Services (WAAS) Version 6.4.5d, die für April 2022 angekündigt ist, die Schwachstellen CVE-2021-34798 und CVE-2021-39275 behebt. Dieselbe Version wird allerdings in der zugehörigen Cisco Bug-ID CSCwa33076 als betroffen aufgeführt. Für das Cisco Firepower Next-Generation Intrusion Prevention System (NGIPS) und die über das Cisco Firepower Management Center administrierte Cisco Firepower Threat Defense (FTD) Software werden die fehlerbereinigten Versionen 6.4.0.14 für Mai 2022 und 6.6.7 für März 2022 angekündigt. Cisco betont, dass die Software von CVE-2021-40438 betroffen ist.

Version 9 (2022-01-28 16:17)

Mit der Veröffentlichung 1.8 der referenzierten Sicherheitsmeldung informiert Cisco darüber, dass die Cisco FXOS Software for Firepower 4100/9300 Series Appliances Versionen 2.9.1, 2.10.1, 2.11.1 (verfügbar) sowie 2.12.1 (angekündigt für April 2022) die Schwachstellen beheben. Weiterhin teil Cisco mit, dass auch Cisco Meeting Server betroffen ist und nennt als fehlerbereinigte Versionen 3.2, 3.3 (angekündigt für März 2022), 3.4 (angekündigt für Februar 2022) und 3.5 (angekündigt für Mai 2022).

Betroffene Software

Netzwerk
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Netzwerk
Cisco
Microsoft
VMware

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in Apache HTTP-Server aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2021-40438 kann Einfluss auf andere Komponenten haben.

Cisco informiert darüber, dass einige seiner Produkte von den mit Apache Software Foundation Release 2.4.49 behobenen Schwachstellen betroffen sind. Derzeit wird Cisco Expressway Series als betroffen genannt und es werden als Sicherheitsupdates die Releases X14.0.4 und X14.1 für Dezember 2021 angekündigt.

Die Untersuchungen betreffend weiterer Produkte dauern noch an; der Hersteller wird den Sicherheitshinweis aktualisieren, sobald neue Informationen verfügbar sind.

Schwachstellen:

CVE-2021-33193

Schwachstelle in Apache HTTP-Server ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-34798

Schwachstelle in Apache HTTP-Server ermöglicht Denial-of-Service-Angriff

CVE-2021-36160

Schwachstelle in Apache HTTP-Server ermöglicht Denial-of-Service-Angriff

CVE-2021-39275

Schwachstelle in Apache HTTP-Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-40438

Schwachstelle in Apache HTTP-Server ermöglicht Server-Side-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.