DFN-CERT-2016-1177 Cisco Unified Computing System Performance Manager: Eine Schwachstelle ermöglicht das Eskalieren von Privilegien [Netzwerk][Cisco]

DFN-CERT portal at dfn-cert.de
Thu Jul 21 12:40:01 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Cisco Unified Computing System Performance Manager  < 2.0.1
  

Betroffene Plattformen:

  Cisco Unified Computing System
  


Eine Schwachstelle im Web-Framework des Cisco Unified Computing System
Performance Managers ermöglicht einem entfernten, einfach authentisierten
Angreifer das Eskalieren seiner Privilegien bis hin zu root-Rechten.

Cisco stuft die Ausnutzbarkeit der Schwachstelle als 'hoch' ein und stellt
Cisco UCS Performance Manager Version 2.0.1 als Sicherheitsupdate zur
Verfügung.


Patch:

  Cisco Security Advisory cisco-sa-20160720-ucsperf
  (Cisco-Alert-CVE-2016-1374)

  <http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160720-ucsperf>


CVE-2016-1374: Schwachstelle in Cisco Unified Computing System Performance
  Manager ermöglicht Privilegieneskalation

  Aufgrund unzureichender Validierung von Parametern aus 'HTTP GET'-Anfragen
  existiert eine Schwachstelle im Web-Framework des Cisco Unified Computing
  System Performance Managers. Ein entfernter, einfach authentisierter
  Angreifer kann mit einer präparierten 'HTTP GET'-Anfrage diese Schwachstelle
  ausnutzen und beliebige Befehle mit den Rechten des 'Root'-Benutzers
  ausführen (Privilegieneskalation). 


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1177/>

Cisco Security Advisory cisco-sa-20160720-ucsperf (Cisco-Alert-CVE-2016-1374):
  <http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160720-ucsperf>

Schwachstelle CVE-2016-1374 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1374>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160721/b79fcf95/attachment.bin>


More information about the Security-Announce mailing list