2023-2084: Cisco Identity Services Engine: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2023-09-07 14:54)

Neues Advisory

Version 2 (2023-09-11 13:45)

Cisco hat seinen Sicherheitshinweis bezügliche einer fehlerbereinigten Version für die Schwachstelle CVE-2023-20194 aktualisiert. Die Version 3.1P8 soll demnach im November 2023 zur Verfügung stehen.

Version 3 (2024-01-09 09:57)

Cisco hat seinen Sicherheitshinweis cisco-sa-ise-priv-esc-KJLp2Aw bezügliche einer fehlerbereinigten Version für die Schwachstelle CVE-2023-20194 aktualisiert. Die Version 2.7P10 steht ebenfalls zur Verfügung, während die Schwachstelle CVE-2023-20193 in keinem der betroffenen Versionszweige behoben werden wird.

Betroffene Software

Netzwerk
Sicherheit

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Privilegien zu eskalieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um 'root'-Privilegien zu erlangen, Informationen auszuspähen und Dateien zu manipulieren.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Cisco informiert darüber, dass die Cisco Identity Services Engine Versionen 2.7 und früher, 3.0. 3.1 und 3.2 von den Schwachstellen CVE-2023-20193 und CVE-2023-20194 betroffen sind, während die Schwachstellen in dem Versionszweig 3.3 nicht vorhanden ist. Die Versionen 2.7 und 3.0 sind nicht von CVE-2023-20243 betroffen. Als Sicherheitsupdates veröffentlicht Cisco die Softwareversionen 3.0P8, 3.1P8 und 3.2P3, um die Schwachstelle CVE-2023-20194 sowie die Versionen 3.1P7 und 3.2P3 um die Schwachstelle CVE-2023-20243 zu beheben. Für die Schwachstelle CVE-2023-20193 ist kein Sicherheitsupdate geplant. Wer noch eine 2.7er Version oder frühere einsetzt, muss zur Behebung der Schwachstelle wenigstens auf den Versionszweig 3.0 migrieren und den angegeben Patch installieren.

Schwachstellen:

CVE-2023-20193

Schwachstelle in Cisco Identity Services Engine ermöglicht u. a. Privilegieneskalation

CVE-2023-20194

Schwachstelle in Cisco Identity Services Engine ermöglicht u. a. Privilegieneskalation

CVE-2023-20243

Schwachstelle in Cisco Identity Services Engine ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.