31.08.2007 | Autor / Redakteur: Dirk Srocke / Dirk Srocke
Mit Upgrades hat Cisco Lücken in seiner IP-Telefonielösung behoben. Über Schwachstellen in Unified Call Manager und Communications Manager war es Angreifern möglich, Nutzer per Cross-Site-Scripting auf unsichere Webseiten zu locken. Über die „lang“-Variable konnten Bösewichte zudem eine SQL-Injektion plazieren und vertrauliche Datenbankinformationen auslesen.
Die jetzt von Cisco behobenen Schwachstellen finden sich im Unified CallManager und Communication Manager (CUCM). Betroffen sind Versionen vor 3.3(5)sr2b, 4.1(3)sr5, 4.2(3)sr2 und 4.3(1)sr1.
Ursache für die Lücken ist offenbar eine unzureichende Überprüfung der „lang“-Variable. Beim Einloggen über das Web-Interface können Bösewichte hier ansetzen. Mit entsprechend formulierten Eingaben besteht die Möglichkeit zu Cross-Site-Scripting (XSS) oder SQL-Injections.
Wird ein Anwender auf diese Weise zum Aufruf einer manipulierten URL bewegt, kann er auf eine nicht vertrauenswürdige Website umgeleitet werden. Angreifer nutzen hierbei die Möglichkeit, zwischen
Für registrierte Nutzer hat Cisco bereits gefixte Programmversionen bereit gestellt. Nähere Informationen dazu im nachfolgenden Link.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2007296)
