Der Netzwerkausrüster Cisco hatte bereits Mitte vergangenen Monats auf insgesamt drei Sicherheitslücken in seinem "Security Manager" zur zentralen Verwaltung und Überwachung von Sicherheitsprodukten hingewiesen. Im Zuge der Veröffentlichung der neuen Security Manager-Version 4.22 wurden zwei der Lücken geschlossen. Allerdings stand ein Update zum Beheben von CVE-2020-27131 (Risikoeinstufung "High", CVSS-Score 8.1) noch aus. Das Cisco Security Manager Release 4.22 Service Pack 1 soll dieses Sicherheitsproblem beheben.

Die Sicherheitsmängel, die die ID CVE-2020-27131 zusammenfasst, behandeln die Verarbeitung übermittelter Inhalte (Java-Deserialisierung). Cisco sagt, dass unter bestimmten Voraussetzungen entfernte, unauthentifizierte Angreifer die Möglichtkeit hätten, Befehle auf betroffenen Systemen auszuführen.

Das Service Pack sollte zeitnah angewendet werden, da der Lücken-Entdecker Florian Hauser alias frycos bereits Mitte November, als Ciscos Advisory erschienen ist, Proof-of-Concept-Code bei GitHub veröffentlicht hat. Dabei beklagte er die fehlende Rückmeldung und Aktivität des Herstellers, während des vorangegangen Responsible-Disclosure-Prozesses sowie die Tatsache, dass Version 4.22 trotz seiner Hinweise noch immer keinen Fix enthielt.

(hv, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE