Network Security

AERAsec
Network Security
Aktuelle Sicherheitsmeldungen


Die meisten Links führen direkt auf die entsprechende Datei der meldenden Organisation, damit Sie die Original-Meldung ebenfalls lesen können. Die Meldungen sind meist auf Englisch.

Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

Die AERAsec Network Services and Security GmbH stellt ein:
IT Security Consultant (m/w)
in Hohenbrunn b. München

Weitere Informationen bei Dr. Matthias Leu - hr@aerasec.de

AERAsec

Hier finden Sie unsere Suchmaschine zur Netzwerk-Sicherheit!


Sie übermitteln u.a. folgende Informationen:

Ihr Browser

CCBot/2.0 (http://commoncrawl.org/faq/)

Ihre Absenderadresse

ec2-184-72-177-182.compute-1.amazonaws.com [184.72.177.182]

Ihr Referer

(gefiltert oder nicht vorhanden)

Letzte Änderung vor 4 Tagen

Aktueller Monat, Letzter Monat, Letzte 10 Meldungen, Letzte 20 Meldungen (nur Index)

Ausgewählt wurden die letzten 10 Meldungen

System: Verschiedene
Topic: Schwachstellen in Asterisk
Links: AST-2016-001, AST-2016-002, AST-2016-003, CVE-2011-3389, ESB-2016.0302
ID: ae-201602-013

Der Asterisk HTTP Server zeigt derzeit eine Default-Konfiguration, die erlaubt, die bekannte BEAST Schwachstelle auszunutzen, wenn die TLS Funktionalität eingeschaltet ist. Die Folge wäre, dass durch einen Man-in-the-Middle Angriff durchgehende Daten entschlüsselt werden können.
Verbesserungen stehen zur Verfügung.

System: Debian/GNU Linux
Topic: Schwachstellen in krb5
Links: DSA-3466, CVE-2015-8629, CVE-2015-8630, CVE-2015-8631, ESB-2016.0299
ID: ae-201602-012

In krb5, der MIT Implementierung von Kerberos, wurden verschiedene Sicherheitslücken gefunden. Benutzer mit einem Account können einerseits in der Lage sein, auf vertrauliche Daten zuzugreifen und andererseits auch möglicherweise einen Denial-of-Service auslösen.
Verbesserte Pakete stehen zur Verfügung.

System: Cisco
Topic: Schwachstelle in Cisco Unity Connection
Links: Cisco, CVE-2016-1310, ESB-2016.0289
ID: ae-201602-011

Beim Web-Framework von Cisco Unity Connection werden Benutzereingaben nicht ausreichend genau überprüft. Daher können nicht authentifizierte Angreifer einen Cross-Site Scripting (XSS) Angriff durchführen.
Verbeserungen stehen derzeit noch nicht zur Verfügung.

System: Cisco
Topic: Schwachstelle in Cisco Nexus 9000 Series ACI Mode Switches
Links: Cisco, CVE-2015-6398, ESB-2016.0288
ID: ae-201602-010

Die Implementierung von ICMP beim Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) Mode Switch zeigt ein Problem bei der Verarbeitung von ICMP, genauer der Option Record Route bei IPv4 Type 7. Angreifer können dies ausnutzen, um den Switch zu einem Neustart zu zwingen, was einen Denial-of-Service (DoS) bedeutet.
Verbeserungen stehen zur Verfügung.

System: CentOS
Topic: Schwachstelle im Cisco Jabber Guest Server
Links: Cisco, CVE-2016-1311, ESB-2016.0287
ID: ae-201602-009

Beim webbasierten Management-Interface der Cisco Jabber Guest Applikation werden Eingabeparameter beim HTTP Host Tag Parameter nicht ausreichend geprüft. Daher kann ein nicht authentifizierter Angreifer einen Cross-Site Scripting (XSS) Angriff gegen Benutzer des Web-Interfaces durchführen.
Verbeserungen stehen zur Verfügung.

System: Cisco
Topic: Schwachstelle im Cisco Application Policy Infrastructure Controller
Links: Cisco, CVE-2016-1302, ESB-2016.0286
ID: ae-201602-008

Die rollenbasierte Zugangskontrolle (RBAC) beim Cisco Application Policy Infrastructure Controller (APIC) zeigt einen Fehler in der Verarbeitungslogik. Authentifizierte Benutzer können Konfigurationsänderungen auch außerhalb ihres Rechteschemas durchführen.
Verbeserungen stehen zur Verfügung.

System: Cisco
Topic: Schwachstelle in Cisco ASA-CX and Cisco Prime Security Manager
Links: Cisco, CVE-2016-1301, ESB-2016.0285
ID: ae-201602-007

Die rollenbasierte Zugangskontrolle bei Cisco ASA-CX und dem Cisco Prime Security Manager (PRSM) prüft Änderungen bei Passworten nicht ausreichend genau. Daher kann ein authentifizierter Benutzer das Passwort eines beliebigen Benutzers des Systems ändern.
Verbeserungen stehen zur Verfügung.

System: Verschiedene
Topic: Schwachstelle im Cisco WebEx Meetings Server
Links: Cisco, CVE-2016-1309, ESB-2016.0281
ID: ae-201602-006

Beim Cisco WebEx Meetings Server besteht ein Problem mit dem Code für das Web Framework. Einige Eingaben werden vor dem Weiterleiten an den Server nicht ausreichend genau überprüft. Daher kann ein nicht authentifizierter Angreifer über das Netzwerk einen Cross-Site Scripting (XSS) Angriff gegen Benutzer des Web-Interfaces durchführen.
Verbeserungen stehen nicht zur Verfügung.

System: Cisco
Topic: Schwachstelle in Cisco Finesse Desktop und Cisco Unified Contact Center Express
Links: Cisco, CVE-2016-1307, ESB-2016.0280
ID: ae-201602-005

Im Extensible Messaging und Presence Protocol (XMPP) bei Cisco Finesse Desktop und Cisco Unified Contact Center Express Applikationen besteht eine Schwachstelle. Bei der Installation wird ein Default-Benutzer angelegt, für dessen Account das Passwort nicht geändert werden kann. Nicht authentifizierte Angreifer können daher in der Lage sein, nicht-administrativen Zugang zum Openfire Server, der mit der Applikation kommt, zu erhalten.
Verbeserungen stehen zur Verfügung.

System: Debian/GNU Linux
Topic: Schwachstellen in openjdk-6
Links: DSA-3465, ESB-2016.0274
ID: ae-201602-004

Es bestehen einige potenzielle Schwachstellen in OpemJDK, einer Implementierung der Oracle Java Plattform. Folgen können Ausbrüche aus der Java Sandbox sein, aber auch Herausgabe von Informationen, Denial-of-Service oder unsichere Verschlüsselung.
Verbesserte Pakete stehen zur Verfügung.



(c) 2000-2016 AERAsec Network Services and Security GmbH