2021-2585: Cisco-Produkte, Log4j: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-12-13 16:40)

Neues Advisory

Version 2 (2021-12-14 08:55)

Cisco hat den Sicherheitshinweis mehrfach aktualisiert. Als von der Schwachstelle betroffen werden nun zusätzlich die Produkte Cisco Firepower Threat Defense (FTD) managed by Firepower Device Manager (FDM), Cisco Data Center Network Manager (DCNM), Cisco DNA Center, Cisco Emergency Responder, Cisco Finesse, Cisco Unified Communications Manager / Cisco Unified Communications Manager Session Management Edition, Cisco Unified Communications Manager IM & Presence Service (vormals CUPS), Cisco Unified Contact Center Express und Cisco Unity Connection aufgeführt. Für Cisco Webex Meetings Server stehen mit den Releases CWMS-3.0MR4SP2 und CWMS-4.0MR4SP2 in Kürze (14. Dezember 2021) erste Sicherheitsupdates zur Verfügung.

Version 3 (2021-12-15 10:34)

Cisco hat den Sicherheitshinweis mehrfach aktualisiert und kündigt nun eine Reihe von Sicherheitsupdates an. Für Cisco Data Center Network Manager (DCNM) werden die Versionen 12.0(2d), 12.0(1a), 11.5(3), 11.5(2), 11.5(1), 11.4(1), 11.3(1), 11.2(1), 11.1(1) und 11.0(1) jeweils für 23. Dezember 2021 angekündigt. Die Cisco Evolved Programmable Network Manager Versionen 5.1.3.1, 5.0.2.1 und 4.1.1.1 sollen jeweils am 22. Dezember 2021 bereitstehen. Für Cisco Nexus Dashboard (vormals: Cisco Application Services Engine) wird Version 2.1.2 für den 23. Dezember 2021 avisiert. Cisco Integrated Management Controller (IMC) Supervisor Version 2.3.2.1 soll am 22. Dezember 2021 veröffentlicht werden, ebenfalls Cisco UCS Director Version 6.8.2.0. Für Cisco Emergency Responder werden COP File für 17. Dezember 2021, Version 11.5 ES für den 10. Januar 2022 und 11.5 SU11 für den 3. Januar 2022 angekündigt. Cisco Finesse soll in den Versionen 12.5(1)ES09 am 17. Dezember 2021 und 12.6(1)ES03 am 15. Dezember 2021 kommen, Cisco Unified Communications Manager / Cisco Unified Communications Manager Session Management Edition und Cisco Unified Communications Manager IM & Presence Service (vormals CUPS) COP File am 17. Dezember 2021, Version 11.5 ES am 10. Januar 2022 und 11.5 SU11 am 3. Januar 2022. Für Cisco Unified Contact Center Enterprise werden die Versionen 11.6, 12.0(1), 12.5(1) und 12.6(1) jeweils für den 23. Dezember 2021 sowie für Cisco Unity Connection wiederum COP File am 17. Dezember 2021, Version 11.5 ES am 10. Januar 2022 und 11.5 SU11 am 3. Januar 2022 bereitgestellt.

Version 4 (2021-12-16 17:34)

Cisco hat den Sicherheitshinweis erneut mehrfach aktualisiert und kündigt nun unter anderem zusätzlich folgende Sicherheitsupdates an: Cisco Identity Services Engine (ISE) 2.4 hotfix (17. Dezember 2021), 2.6 hotfix (17. Dezember 2021), 2.7 hotfix (16. Dezember 2021), 3.0 hotfix (16. Dezember 2021) und 3.1 hotfix (18. Dezember 2021) sowie Cisco Unified Contact Center Express Version 12.5(1)SU1 ES03 für den 23. Dezember 2021.

Version 5 (2021-12-17 17:50)

Cisco hat den Sicherheitshinweis erneut mehrfach aktualisiert und kündigt nun unter anderem zusätzlich folgende Sicherheitsupdates an: Cisco Webex Meetings Server 3.0 MR4 SP3 Patch und 4.0 MR4 SP3 Patch (21. Dezember 2021), Cisco Firepower Threat Defense (FTD) managed by Firepower Device Manager (FDM) 6.2.3, 6.4.0, 6.6.5, 7.0.1 und 7.1.0 Hotfixes (23. Dezember 2021). Die angekündigten Cisco Identity Services Engine (ISE) Hotfixes werden jeweils wenige Tage früher bereitgestellt werden. Für Cisco Emergency Responder wurden die Fixes und Veröffentlichungsdaten korrigiert; hier werden nun 11.5(4)SU9 Patch und 11.5(4)SU10 Patch (17. Dezember 2021) angegeben. Ebenso wurden für Cisco Unified Communications Manager / Cisco Unified Communications Manager Session Management Edition, Cisco Unified Communications Manager IM & Presence Service und Cisco Unity Connection die Fixes und Veröffentlichungsdaten korrigiert; hier werden nun 11.5(1)SU7 Patch, 11.5(1)SU8 Patch, 11.5(1)SU9 Patch und 11.5(1)SU10 Patch (17. Dezember 2021) genannt. Für Cisco UCS Central Software wird neu Version2.0(1p) für den 22. Dezember 2021 angekündigt. Außerdem referenziert Cisco jetzt auch die Schwachstelle CVE-2021-45046 als behoben, welche ebenfalls das Ausführen beliebigen Programmcodes ermöglicht.

Version 6 (2021-12-20 17:32)

Cisco hat den Sicherheitshinweis erneut mehrfach aktualisiert. Die angekündigten Cisco Emergency Responder Fixes stehen frühzeitiger bereit. Für Cisco Finesse wird Version 12.6(1) für den 23. Dezember 2021 angekündigt. Ebenso werden für Cisco Unified Communications Manager / Cisco Unified Communications Manager Session Management Edition, Cisco Unified Communications Manager IM & Presence Service und Cisco Unity Connection die Veröffentlichungsdaten korrigiert und jeweils zusätzliche Fixes für den Versionszweig 11.5 aufgeführt. Für Cisco Unified Contact Center Express wird Version 12.5(1)SU1 für den 23. Dezember 2021 angekündigt. Außerdem referenziert Cisco jetzt auch die Schwachstelle CVE-2021-45105 als behoben, welche einen Denial-of-Service (DoS)-Angriff ermöglicht.

Version 7 (2021-12-21 15:49)

Cisco hat den Sicherheitshinweis erneut aktualisiert. Cisco Application Policy Infrastructure Controller (APIC) - Network Insights Base App gilt ebenfalls als verwundbar und die Bereitstellungsdaten der Cisco DNA Center Sicherheitsupdates wurden angepasst, Version 2.2.2.8 Patch am 23. Dezember 2021, Version 2.2.3.4 Patch am 29. Dezember 2021 und Version 2.1.2.8 Patch am 25. Januar 2022.

Version 8 (2021-12-22 10:59)

Cisco hat den Sicherheitshinweis erneut aktualisiert und stellt für Cisco Application Policy Infrastructure Controller (APIC) - Network Insights Base App die Versionen 4.2(7r) und 5.2(3g) als Sicherheitsupdates zur Verfügung. Für Cisco Firepower Threat Defense (FTD) managed by Firepower Device Manager (FDM) stehen die Versionen 6.2.3, 6.7.0 und 7.1.0 Hotfix, die für den 23. Dezember angekündigt waren, schon jetzt bereit.

Version 9 (2021-12-23 12:30)

Cisco informiert mittels der Version 1.27 der referenzierten Sicherheitsmeldung über die Verfügbarkeit der Cisco Data Center Network Manager (DCNM) Version 12.0(2f) als Sicherheitsupdate.

Betroffene Software

Netzwerk
Office
Server
Sicherheit

Betroffene Plattformen

Hardware
Cisco
Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann die Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, indem er durch gezielte Interaktion mit Anwendungen, die auf die Drittanbieter-Komponente Log4j zurückgreifen, speziell präparierte Log-Nachrichten oder Log-Nachrichten-Parameter auf betroffene Systeme bringt. Die Schwachstelle ist als 'Log4Shell' oder 'LogJam' bekannt.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstelle kann Einfluss auf andere Komponenten haben.

Cisco informiert darüber, dass zahlreiche Produkte von der Schwachstelle betroffen sind, unter anderem Cisco WebEx Meetings Server, Cisco Identity Services Engine (ISE), Cisco Evolved Programmable Network Manager, Cisco Integrated Management Controller (IMC) Supervisor, Cisco Nexus Dashboard (ehemals: Application Services Engine), Cisco UCS Director, Cisco Unified Contact Center Enterprise und Cisco WebEx Meetings (Cloud-basiert). Für Cisco WebEx Meetings wurde die Schwachstelle behoben, für Cisco Nexus Dashboard wird Version 2.1.2 als Sicherheitsupdate für den 7. Januar 2022 angekündigt.

Sicherheitsupdates stehen ansonsten noch nicht zur Verfügung und der Hersteller untersucht eine Reihe weiterer Produkte auf deren Verwundbarkeit. Der Sicherheitshinweis soll entsprechend in Kürze aktualisiert werden.

Schwachstellen:

CVE-2021-44228

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-45046

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-45105

Schwachstelle in Apache Log4j ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.