DFN-CERT Portal

Schwachstellen

DFN-CERT-2018-0259: Cisco Policy Suite: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen und Ausspähen von Informationen

Historie

Version 1 (2018-02-08 16:19)
Neues Advisory

Betroffene Software

Cisco Policy Suite < 13.1.0 Hotfix Patch 1
Cisco Policy Suite 14.0

Betroffene Plattformen

Cisco Policy Suite (CPS) Appliance

Lösung

Patch

Cisco Security Advisory cisco-sa-20180207-cps

Patch

Cisco Security Advisory cisco-sa-20180207-cps1

Beschreibung

Zwei Schwachstellen in der Cisco Policy Suite ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und das Ausspähen von Informationen.

Cisco bestätigt die Schwachstelle für die Cisco Policy Suite bis einschließlich Version 13.1.0 und stellt die Version 13.1.0 Hotfix Patch 1 als Sicherheitsupdate zur Verfügung. Verwundbarer Programmcode ist ebenfalls in dem Versionszweig 14.0 enthalten, aber die betroffene Komponente gilt als nicht offiziell unterstützt.

Der Schweregrade der Schwachstelle CVE-2018-0116 wird von Cisco als 'high' eingestuft.

Schwachstellen

CVE-2018-0134: Schwachstelle in Cisco Policy Suite ermöglicht Ausspähen von Informationen

Im RADIUS Authentifizierungsmodul der Cisco Policy Suite werden in Abhängigkeit von der Gültigkeit von RADIUS Benutzernamen bei einem Anmeldungsversuch unterschiedliche Authentifizierungsfehlermeldungen zurückgegeben. Ein entfernter, nicht authentisierter Angreifer kann anhand der Meldungen gültige Benutzernamen identifizieren und damit Informationen ausspähen. Diese Informationen kann er anschließend für weitere Angriffe nutzen.

CVE-2018-0116: Schwachstelle in Cisco Policy Suite ermöglicht Umgehen von Sicherheitsvorkehrungen

Im RADIUS Authentifizierungsmodul der Cisco Policy Suite werden die Zugangsdaten von RADIUS Benutzern nicht korrekt validiert, wodurch sich ein entfernter, nicht authentisierter Angreifer nur unter Angabe eines gültigen Benutzernamens ohne zugehöriges Passwort anmelden und damit Sicherheitsvorkehrungen umgehen kann.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.