Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1423

[Cisco/CUCM] Schwachstelle im Cisco Unified Communications Manager
(2008-02-13 22:54:41.792936+00)

Quelle: http://www.cisco.com/warp/public/707/cisco-sa-20080213-cucmsql.shtml

Eine Schwachstelle im Cisco Unified Communications Manager (bzw. CallManager) kann von einem Angreifer dazu ausgenutzt werden, unautorisiert SQL-Code einzuschleusen und in der Folge nichtöffentliche Information, insbesondere Benutzernamen und Passworthashes, die in der Datenbank des Servers gespeichert sind, auszulesen.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Spezieller Wert im key-Parameter bei Eingabe über die Administrations- oder Benutzerseite der Web-Schnittstelle des CUCM

Angriffsvoraussetzung
Zugriff auf die Administrations- oder Benutzerseite der Web-Schnittstelle des CUCM
(user credentials)

Angriffsvektorklasse
über eine Netzwerkverbindung
(remote)

Auswirkung
Auslesen von Benutzernamen und Passworthashes aus der Datenbank des CUCM
(information leak)

Typ der Verwundbarkeit
unbekannt

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine Schwachstelle in der Verarbeitung der auf der Administrations- sowie Benutzerseite der Webschnittstelle des CUCM eingegebenen Daten kann von einem Angreifer dazu ausgenutzt werden, SQL-Code an die Datenbank zu senden. In der Folge kann der Angreifer unautorisiert Benutzernamen und die zugehörigen Passworthashes aus der Datenbank auslesen und z.B. auf einem anderem System knacken.

Zur erfolgreichen Ausnutzung der Schwachstelle muss der Angreifer entsprechend präparierte Daten im key-Parameter an die Datenbank übergeben.

Gegenmaßnahmen

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1423