Kurzinfo CB-K18/0421

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: Cisco Identity Services Engine (ISE): Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Datum: 08.03.2018
Software: Cisco Identity Services Engine 2.0(0.234), Cisco Identity Services Engine 2.0(0.249), Cisco Identity Services Engine 2.1(0.474), Cisco Identity Services Engine 2.1(0.904), Cisco Identity Services Engine 2.1(102.103), Cisco Identity Services Engine 2.2(0.470), Cisco Identity Services Engine 2.2(0.903), Cisco Identity Services Engine 2.2(1.145), Cisco Identity Services Engine 2.4(0.192), Cisco Identity Services Engine 2.4(0.247)
Plattform: Cisco Identity Services Engine Appliances 3300 Series
Auswirkung: Cross-Site-Scripting
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2018-0211, CVE-2018-0212, CVE-2018-0213, CVE-2018-0214, CVE-2018-0215, CVE-2018-0216, CVE-2018-0221
Bezug: Cisco Security Advisory cisco-sa-20180307-ise (CVE-2018-0211)
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Cisco Identity Services Engine (ISE) ist eine Software für das Management und die Kontrolle von Sicherheitsrichtlinien für Verbindungen über LAN, WLAN und VPN.

Mehrere Schwachstellen in der Cisco Identity Services Engine (ISE) Software ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Cross-Site-Request-Forgery (CSRF)- und Cross-Site-Scripting (XSS)-Angriffen über speziell präparierte URLs, die dazu von Benutzern der Weboberfläche aufgerufen werden müssen. Ein entfernter, einfach authentifizierter Angreifer mit Zugriff auf die Weboberfläche der Software kann eine weitere Schwachstelle ausnutzen, um seine Privilegien zu eskalieren. Darüber hinaus existieren mehrere Schwachstellen, die einem lokalen, einfach authentifizierten Angreifer die Ausführung beliebigen Programmcodes und das Erzeugen eines dauerhaften Denial-of-Service (DoS)-Zustands ermöglichen. Zwei dieser Schwachstellen können nur von einem Angreifer mit Administratorrechten ausgenutzt werden. Cisco bestätigt die Schwachstellen für verschiedene Versionen der Cisco Identity Services Engine (ISE) Software auf Cisco ISE 3300 Series Appliances und gibt an, dass Sicherheitsupdates zur Verfügung stehen. Informationen zu betroffenen Versionen werden in den Cisco Bug IDs gegeben, die in den jeweiligen Sicherheitshinweisen für die einzelnen Schwachstellen referenziert sind. An gleicher Stelle wird auch ein Link zum Download aktueller Software gegeben.

  1. Cisco Security Advisory cisco-sa-20180307-ise (CVE-2018-0211)

  2. Cisco Security Advisory cisco-sa-20180307-ise1 (CVE-2018-0212)

  3. Cisco Security Advisory cisco-sa-20180307-ise2 (CVE-2018-0213)

  4. Cisco Security Advisory cisco-sa-20180307-ise3 (CVE-2018-0214)

  5. Cisco Security Advisory cisco-sa-20180307-ise4 (CVE-2018-0215)

  6. Cisco Security Advisory cisco-sa-20180307-ise5 (CVE-2018-0216)

  7. Cisco Security Advisory cisco-sa-20180307-ise6 (CVE-2018-0221)

  8. Schwachstelle CVE-2018-0211 (NVD)

  9. Schwachstelle CVE-2018-0212 (NVD)

  10. Schwachstelle CVE-2018-0213 (NVD)

  11. Schwachstelle CVE-2018-0214 (NVD)

  12. Schwachstelle CVE-2018-0215 (NVD)

  13. Schwachstelle CVE-2018-0216 (NVD)

  14. Schwachstelle CVE-2018-0221 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.