![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Cisco hat zwei als kritisch eingestufte Schwachstellen bei der Eingabevalidierung in seinen Produkten behoben, die in der Update-Funktion der Cisco Industrial Network Director (IND)-Software und dem Authentifizierungsdienst von Cisco Unified Presence (Cisco Unified CM IM&P Service, Cisco VCS und Cisco Expressway Series) enthalten sind.<\/p>\n
<\/p>\n
Cisco IND ist eine L\u00f6sung, die entwickelt wurde, um vollst\u00e4ndige Transparenz und Kontrolle \u00fcber industrielle Automatisierungsnetzwerke zu gew\u00e4hrleisten, wie auf dem Datenblatt beschrieben, w\u00e4hrend Cisco Unified Presence eine Unternehmensplattform f\u00fcr den Austausch von Pr\u00e4senz- und Instant Messaging-Informationen in und zwischen Unternehmen ist.<\/p>\n
Der Remote Code Execution-Fehler (RCE) CVE-2019-1861<\/a> in Cisco IND k\u00f6nnte es potenziellen authentifizierten entfernten Angreifern erm\u00f6glichen, beliebigen Code auf Maschinen auszuf\u00fchren, auf denen die verwundbare Software ausgef\u00fchrt wird. CISCO hat ein Update der Software ver\u00f6ffentlicht, die diese Schwachstelle schlie\u00dfen soll.<\/p>\n \"Die Schwachstelle ist auf eine unsachgem\u00e4\u00dfe Validierung von Dateien zur\u00fcckzuf\u00fchren, die in die betroffene Anwendung hochgeladen wurden\", so der Sicherheitshinweis von Cisco<\/a>. \"Ein Angreifer k\u00f6nnte diese Schwachstelle ausnutzen, indem er sich \u00fcber Administratorrechte gegen\u00fcber dem betroffenen System authentifiziert und eine beliebige Datei hochl\u00e4dt. Ein erfolgreicher Angriff k\u00f6nnte es dem Angreifer erm\u00f6glichen, beliebigen Code mit erh\u00f6hten Rechten auszuf\u00fchren.\" <\/p>\n Der Authentifizierungsdienst von Cisco Unified Presence ist von einer Sicherheitsl\u00fccke CVE-2019-1845<\/a> (mit einer CVSS 3.0 8.6-Bewertung) betroffen. Diese k\u00f6nnte es nicht authentifizierten entfernten Angreifern erm\u00f6glichen, einen Dienstausfall f\u00fcr Benutzer zu verursachen. Die Angreifer k\u00f6nnen versuchen, sich auf anf\u00e4lligen Servern zu authentifizieren, wodurch eine Denial-of-Service (DoS)-Bedingung ausgel\u00f6st wird.<\/p>\n Cisco hat einen Sicherheitshinweis<\/a> ver\u00f6ffentlicht. Die Schwachstelle ist auf unzureichende Kontrollen f\u00fcr bestimmte Speicheroperationen zur\u00fcckzuf\u00fchren. Ein Angreifer k\u00f6nnte diese Schwachstelle ausnutzen, indem er eine fehlerhafte XMPP-Authentifizierungsanforderung (Extensible Messaging and Presence Protocol) an ein betroffenes System sendet. Weitere Details finden sich bei Bleeping Computer<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Cisco hat zwei als kritisch eingestufte Schwachstellen bei der Eingabevalidierung in seinen Produkten behoben, die in der Update-Funktion der Cisco Industrial Network Director (IND)-Software und dem Authentifizierungsdienst von Cisco Unified Presence (Cisco Unified CM IM&P Service, Cisco VCS und Cisco … Weiterlesen Cisco Unified Presence Denial of Service Sicherheitsl\u00fccke<\/h2>\n