Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

CISCO Cross-Site Scripting Vulnerability in Online Help System

Frage Sicherheit

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

16.03.2007 um 12:12 Uhr, 4449 Aufrufe

Es ist einem Angreifer moeglich, schaedlichen Code ueber den Webbrowser des Benutzers auf dem Rechner ausfuehren zu lassen. Vorbedingung fuer einen erfolgreichen Angriff ist es den Benutzer auf eine zu diesem Zweck praeparierte Website zu locken.

Public release: 15. Maerz 2007

Betroffene Produkte:
Cisco Secure Access Control Server (ACS) for Windows version 4.1 and Cisco Secure ACS Solution Engine version 4.1. Cisco Bug ID CSCsh91761 .

Cisco VPN Client. Cisco Bug ID CSCsh52300 .

Cisco Unified Personal Communicator. Cisco Bug ID CSCsh91884 .

Cisco MeetingPlace and Cisco Unified MeetingPlace, end-user and Admin help systems. Cisco Bug ID CSCsi12435 .

Cisco Unified MeetingPlace Express, end-user and Admin help systems. Cisco Bug ID CSCsh91901 .

Cisco CallManager. Cisco Bug ID CSCsi10405 .

Cisco IP Communicator. Cisco Bug ID CSCsh91953 .

Cisco Unified Video Advantage (ehemals Cisco VT Advantage). Cisco Bug ID CSCsh93070 .

Cisco Unified Videoconferencing 3545 System,
Cisco Unified Videoconferencing 3540 Series Videoconferencing System,
Cisco Unified Videoconferencing 3515 MCU,
Cisco Unified Videoconferencing 3527 PRI Gateway,
Cisco Unified Videoconferencing 3526 PRI Videoconferencing Gateway,
Cisco Unified Videoconferencing Manager.
Cisco Bug ID CSCsh93854.

Cisco WAN Manager (CWM). Cisco Bug ID CSCek71039.

Cisco Security Device Manager. Cisco Bug ID CSCsh95009 .

Cisco Network Analysis Module (NAM) for Catalyst 6500 series switches,
Cisco 7600 series routers, and for modular IOS routers.
Cisco Bug ID CSCsi10818.

CiscoWorks and all products that integrate with CiscoWorks. Cisco Bug ID CSCsi10674 .

Affected CiscoWorks-related products include:

Management Center for IPS Sensors
Security Monitor
CiscoWorks LAN Management Solution
Router Management Essentials
Common Services
Device Fault Manager
CiscoView
Internetwork Performance Monitor (IPM)
Campus Manager

Cisco Wireless LAN Solution Engine (WLSE). Cisco Bug ID CSCsi10982.

Cisco 2006 Wireless LAN Controllers (WLC). Cisco Bug ID CSCsi13743.

Cisco Wireless Control System (WCS). Cisco Bug ID CSCsi13763.

Workaround:
In some cases it is possible to eliminate the vulnerability by removing or renaming the files PreSearch.html and PreSearch.class (if they exist - use your operating system's file search feature to locate them.) Please note that this workaround is not applicable to appliances and other products where direct access to the file system is not available, and that by removing or renaming these files it will no longer be possible to search the product's online help contents.

Patchstatus:
Fuer registrierte Kunden o.g. Produkte sind Bug-Toolkits erhaeltlich!

Weitere Links:
Original-Disclosure: http://www.cisco.com/warp/public/707/cisco-sr-20070315-xss.shtml
Understanding XSS-Threats: http://www.cisco.com/warp/public/707/cisco-air-20060922-understanding-x ...
Alle Cisco security advisories: http://www.cisco.com/go/psirt

Credits:
Erwin Paternotte from Fox-IT, Cassio Goldschmidt.

saludos
gnarff
Ähnliche Inhalte
Router & Routing
Cisco 5505 kein Internet nach Site-to-Site VPN
gelöst Frage von dz1987Router & Routing3 Kommentare

Hallo, über die Suche habe ich leider zu diesem spezifischen Problem nichts finden können. (Oder ich bin zu blöd) ...

Firewall
Site to Site Tunnel bei Cisco 5505 ist weg
Frage von Christian75Firewall3 Kommentare

Hallo zusammen, ich habe mir hier nun einige Einträge zu dem Thema durchgelesen, habe aber leider noch nicht die ...

Netzwerke
Site-to-Site VPN mit Cisco RV320 und AVM
gelöst Frage von quirmiNetzwerke8 Kommentare

Hallo liebe Admins! :) ich habe momentan folgendes Szenario: Drei Standorte sind mit drei Fritzboxen (2x3370, 1x3270) via VPN ...

Batch & Shell
Bash scripting
gelöst Frage von HighShooterBatch & Shell3 Kommentare

Hallo, für meinem Server auf Debian 8 soll ich einen Script schreiben; der sollte folgendes beinhalten: eine Datei von ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 2 StundenVerschlüsselung & Zertifikate

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 13 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 14 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...