2025-1060: Cisco StarOS: Eine Schwachstelle ermöglicht nicht spezifizierte Angriffe

Historie:

Version 1 (2025-04-28 16:29)

Neues Advisory

Version 2 (2025-05-30 17:43)

Cisco aktualisiert den Sicherheitshinweis mit der Information, dass alle betroffenen Produkte nun identifiziert sind. Für die ASR 5000 Series Software (StarOS) steht weiterhin noch kein Sicherheitsupdate zur Verfügung.

Version 3 (2025-06-12 10:53)

Cisco aktualisiert den Sicherheitshinweis mit der Information, dass das Cisco Product Security Incident Response Team (PSIRT) im Juni auf die versuchte öffentliche Ausnutzung der Schwachstelle aufmerksam geworden ist.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Die Cisco ASR 5000 Software StarOS ist von einer Schwachstelle in Erlang/OTP betroffen, die in anderen Kontexten das Ausführen beliebigen Programmcodes aus der Ferne ermöglicht.

In diesem Fall bestehe zwar eine Verwundbarkeit, da nicht-authentifizierte 'channel request'-Nachrichten akzeptiert würden, das entfernte Ausführen beliebigen Programmcodes (Remote Code Execution) sei laut Cisco jedoch aufgrund der spezifischen Produktkonfiguration nicht möglich. Cisco macht keine genaueren Angaben zum verbleibenden Restrisiko und dadurch möglichen Angriffen.

Zudem sind nur solche Systeme betroffen, auf denen 'server confd' konfiguriert ist.

Der Hersteller hat noch keine Sicherheitsupdates zur Behebung der Schwachstelle angekündigt.

Schwachstellen:

CVE-2025-32433

Schwachstelle in Erlang/OTP ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.