Bundesamt für Sicherheit in der Informationstechnik

CB-K17/0402 Update 7

Risikostufe 5

Titel:Apache Software Foundation Struts: Eine Schwachstelle ermöglicht das Ausführen beliebigen ProgrammcodesDatum:20.03.2017Software:Apache Software Foundation Struts >= 2.3.5, Apache Software Foundation Struts <= 2.3.31, Apache Software Foundation Struts >= 2.5, Apache Software Foundation Struts <= 2.5.10, Cisco Unity Connection Server 11.5(1.999), Cisco Unity Connection Server 12.0, Cisco Identity Services Engine 2.2(0.471), Cisco Prime Central for Hosted Collaboration Solution, Cisco Prime Network Registrar 8.3, Cisco Prime Network Registrar 9.0, Cisco Unified Communications Manager 12.0(0.99999.2), Cisco Unified Communications Manager IM and Presence Service 12.0(1), Cisco Unified Contact Center Enterprise 9.0(4)ES, Cisco Unified Contact Center Enterprise 10.5(3)ES, Cisco Unified Contact Center Enterprise 11.0(2)ES, Cisco Unified Contact Center Enterprise 11.5(1)ES, Cisco Unified Contact Center Enterprise 11.6(1), Cisco Unified Intelligence Center 10.6(1)Plattform:VMware vCenter Server 6.0, VMware vCenter Server 6.5, Cisco Hardware, Cisco Identity Services Engine Appliances, GNU/Linux, IBM AIX, Microsoft WindowsAuswirkung:Ausführen beliebigen Programmcodes mit den Rechten des DienstesRemoteangriff:JaRisiko:sehr hochCVE Liste:CVE-2017-5638Bezug: Apache Struts Security Bulletin S2-045

Beschreibung

Apache Struts ist ein Open-Source-Framework für die Präsentations- und Steuerungsschicht von javabasierten Webanwendungen. Es stammt von der Apache Software Foundation.

Cisco Unity Connection ist eine Lösung zur Integration der gesamten Kommunikation per Telefon und mit dem PC durch die Handhabung der Nachrichten durch den Benutzer über Sprachbefehle.

Cisco Identity Services Engine (ISE) ist eine Software für das Management und die Kontrolle von Sicherheitsrichtlinien für Verbindungen über LAN, WLAN und VPN.

Cisco Hosted Collaboration Solution (HCS) ist eine Plattform für Service Provider, die einheitliche Kommunikation und Zusammenarbeit für verschiedene Lösungen aus den Bereichen Finanz, Operation und Cloud liefern möchten.

Der Cisco Prime Network Registrar stellt sowohl für IPv4 als auch IPv6 Netze Dienste für das Domain Name System (DNS), das Dynamic Host Configuration Protocol (DHCP) und IP Address Management (IPAM) bereit. Er ist skalierbar ausgelegt für sehr große Netzwerke.

Mit dem Cisco Unified Communications Manager werden zentral alle Dienste für Cisco IP-Telefonie bereitgestellt und verwaltet. Er stellt insbesondere die Verbindung zwischen Internet und internen Telefonie-Anwendungen her.

Der Cisco Unified Communications Manager wird für die Verwaltung von IP-Telefonen von Cisco eingesetzt. Die Verwaltung der Anwendungen, Telefone und auch die Internet-Anbindung laufen über den Manager. Der IM und Presence Service erweitert das Produkt um Enterprise Instant Messaging Funktionalitäten, wie z.B. Gruppenchats und Logging.

Cisco Unified Contact Center Enterprise (UCCE) bietet Lösungen für die Verteilung von Anrufen und deren weitere Bearbeitung an. Es wird eine IP-Infrastruktur verwendet, um Weiterleiten von Kontakten nach Qualifikation (skills-based routing), Sprach-Selbstbedienung (IVR Self Service), Computer-Telefonie-Integration (CTI) und Kontaktmanagement für verschiedene Kommunikationskanäle bereitzustellen.

Das Cisco Unified Intelligence Center generiert webbasierte Reports für Cisco Contact Center Produkte. Die Analyse der Daten für die Erstellung der Reports kann sowohl in Echtzeit, wie auch aus historischen Daten erfolgen.

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, mit Hilfe eines schädlich präparierten Inhaltstypenwertes (Content-Type) in einer HTTP-Anfrage, um beliebigen Programmcode mit den Rechten des Dienstes zur Ausführung zu bringen. Der Hersteller informiert darüber, dass Apache Struts in den Versionen 2.3.5 - 2.3.31 und 2.5 - 2.5.10 von der Schwachstelle betroffen ist und stellt die Programmversionen 2.3.32 und 2.5.10.1 als Sicherheitsupdates bereit.