Schwerwiegende Sicherheitslücke in Ciscos UCS Central Software
Über das Datencenter-Frontend kann ein Angreifer aus der Ferne Schadcode ausführen, ohne sich anmelden zu müssen. Damit kann er die Kontrolle über das zugrunde liegende Betriebssystem der Server übernehmen.
(Bild: dpa, Ole Spata)
- Fabian A. Scherschel
Cisco hat eine schwerwiegende Sicherheitslücke im Web-Frontend der Server-Management-Lösung UCS Central Software geschlossen (CVE-2015-0701). Durch den Input-Validierungs-Bug kann ein Angreifer die Kontrolle über die Software aus der Ferne übernehmen, ohne sich anmelden zu müssen und dann Schadcode ausführen.
Das Unified Computing System (UCS) ist Ciscos Datencenter-Plattform und beinhaltet neben den eigentlichen Servern auch die Netzwerkkomponenten und den Virtualisierungs-Stack. Die Lücke ermöglicht es Angreifern, Schadcode auf dem zugrunde liegenden Betriebssystem der Server mit System-Rechten auszuführen.
Betroffen ist die UCS Central Software bis einschließlich Version 1.2. Ein Update von Cisco, welches die Lücke schließen soll, steht bereit und kann vom Hersteller bezogen werden. Mit dem höchstmöglichen CVSS Score von 10 muss die Sicherheitslücke als hochkritisch angesehen werden. Laut Cisco ist allerdings nicht bekannt, dass sie momentan aktiv ausgenutzt wird (fab)
