Cisco patcht Unified Communications Domain Manager

Das Update stopft drei Lücken, darunter eine kritische. Der Standard-SSH-Schlüssel war unsicher gespeichert und ließ sich auslesen. Angreifer hätten sich über ein Support-Konto Root-Zugriff aufs System verschaffen können.

Cisco hat eine schwere Lücke im Unified Communications Domain Manager behoben. Das Problem sei, dass der Standard-SSH-Schlüssel unsicher gespeichert werde, heißt es im zugehörigen Advisory. Angreifer könnten ihn per Reverse Engineering auslesen, sich so unautorisierten Zugriff verschaffen, mit Administrator-Rechten ausstatten und die Plattform übernehmen.

Cisco

Mit dem Schlüssel wäre es dem Angreifer nämlich möglich, sich übers Support-Konto ohne weitere Authentifizierung anzumelden. Dieses gewähre Root-Zugriff. Möglicherweise funktioniert das sogar auf den Systemen anderer Anwender.

Ein Workaround für dieses Problem existiere nicht, schreibt Cisco. Weitere Informationen zu dem Leck liefert es unter der Bug-ID CSCud41130 – allerdings in einem nur für registrierte Kunden zugänglichen Bereich seiner Website.

Zugleich schließt Cisco zwei weitere Lecks in UCDM. Über CSCun49862 kann ein Angreifer seine Rechte erweitern. Dafür muss er entweder selbst angemeldet sein oder aber einen berechtigten Nutzer der Administrationsoberfläche dazu bringen, auf einen manipulierten Link zu klicken. Über eine derartige manipulierte URL kann der Angreifer auch die Anmeldeinformationen eines Nutzers ändern.

Dem insgesamt dritten Fehler hat Cisco die Kennung CSCum77041 zugewiesen. Ein Fehler im BVSMWeb des UCDM erlaubt es einem Angreifer, per Fernzugriff die Nutzerinformationen im BVSMWeb-Portal zu ändern. Er kann etwa persönliche Telefonbücher von Nutzern und Rufumleitungen einzelner Anwender ändern. Auch dafür müsste er eine manipulierte URL einsetzen. Der Fehler liegt in diesem Fall in einer falschen Implementierung der Zugriffskontrollen in bestimmten Bereichen des BVSMWeb-Portals.

[mit Material von Martin Schindler, silicon.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cisco, Kommunikation, Secure-IT, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Cisco patcht Unified Communications Domain Manager

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *