Kurzinfo CB-K18/0414

5 Risiko: sehr hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Cisco Prime Collaboration Provisioning (PCP): Eine Schwachstelle ermöglicht das Erlangen von Benutzerrechten
Datum: 08.03.2018
Software: Cisco Prime Collaboration Provisioning Software 11.6
Plattform: Cisco Unified Communications, VMware ESXi
Auswirkung: Erlangen von Benutzerrechten
Remoteangriff: Nein
Risiko: sehr hoch
CVE Liste: CVE-2018-0141
Bezug: Cisco Security Advisor cisco-sa-20180307-cpcp (CVE-2018-0141)
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Cisco Prime Collaboration Provisioning stellt eine Web-basierte Lösung zum Managen der im Unternehmen eingesetzten Kommunikationsdienste bereit. Dazu gehören IP-Kommunikations-Endpunkte und Services in einer integrierten IP-Telefonie, Video, Voicemail und Messaging Umgebung, welche auch Cisco Gateways inkludiert.

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in der Cisco Prime Collaboration Provisioning (PCP) Software ausnutzen, um sich auf dem unterliegenden Linux-Betriebssystem einzuloggen. Nach dem Erlangen niedriger Benutzerrechte kann der Angreifer seinen Rechte auf 'root'-Privilegien ausweiten und die vollständige Kontrolle über das Gerät übernehmen. Cisco bestätigt die Schwachstelle für das Cisco Prime Collaboration Provisioning Software Releases 11.6 und benennt die Version 12.1 und folgende als 'Fixed Releases'. Für weiterer Informationen wird auf die Cisco Bug ID CSCvc82982 verwiesen. Dort wird derzeit die Cisco Prime Collaboration Version 12.1 unter den 'Known Affected Releases' genannt und der Status wird mit 'Fixed' angegeben. Cisco hat ein Sicherheitsupdate zur Verfügung gestellt, die Version 12.4 ist die aktuelle Version der Software. Cisco stuft die Schwachstelle in Abweichung zum CVSS Score aufgrund der Möglichkeit der Erlangung von 'root'-Privilegien als kritisch ein.

  1. Cisco Security Advisor cisco-sa-20180307-cpcp (CVE-2018-0141)

  2. Schwachstelle CVE-2018-0141 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.