Aktuelle IT Security Hinweise

Hier finden Sie aktuelle Informationen zu aktuellen IT-Sicherheitsschwachstellen.

Regulatory Compliance Issue mit Cisco Access Points

 

Regulatory Compliance Issue mit Cisco Access Points

Von unserem Hersteller Cisco haben wir die folgende Field Notice bekommen, mit der Bitte um Berücksichtigung:

https://www.cisco.com/c/en/us/support/docs/field-notices/705/fn70577.html

Die aufgeführten Software-Versionen in Verbindung mit den AP Modellen AP2800/AP3800/AP4800/AP1560/IW6300 und der Verwendung des 5 GHz Bandes, dürfen laut aktuellen regulatorischen DFS-Vorgaben (Dynamic Frequency Selection), nicht mehr betrieben werden.

Daher wird von Cisco empfohlen schnellstmöglich ein Upgrade auf die empfohlenen Software-Versionen durchzuführen.

Betroffene SW Versionen & empfohlenes Upgrade:                               


AireOS 8.5.161.1 bis 8.5.161.3

AireOS 8.5.161.4 oder neuer

AireOS 8.5 MR6 Escalation, verfügbar via Cisco TAC Anfrage

AireOS 8.10.112.0

AireOS 8.10.113.0 oder neuer

 

AireOS 8.10.112.1 bis 8.10.112.9

AireOS 8.10.121.5, 8.10.122.0 oder neuer

AireOS 8.10.121.5, verfügbar via Cisco TAC Anfrage

AireOS 8.10.121.0

AireOS 8.10.122.0 oder neuer

 

AireOS 8.10.121.1 bis 8.10.121.3

AireOS 8.10.121.5 oder neuer

AireOS 8.10 MR2 Escalation, verfügbar via Cisco TAC Anfrage

Cisco IOS XE 17.1.1s

Cisco IOS XE 17.1.1t

Für  9800 und EWC-AP

Cisco IOS XE 17.1.1s

Cisco IOS XE 17.1.1s ES

Für Embedded Wireless Controller auf Switchen

Cisco IOS XE 17.2.1

Cisco IOS XE 17.2.1a

 

Sollten Sie Unterstützung bei der Bereitstellung und Installation der neuen Software-Version benötigen, wenden Sie sich vertrauensvoll bei ihrem zuständigen Vertriebsmitarbeiter oder wenden Sie sich an unsere Service-Hotline.

Mit freundlichen Grüßen
Ihre Pan Dacom Networking AG

 

 

Cisco PKI Zertifikate

Selbstsigniertes PKI-Zertifikat läuft in Cisco IOS- und Cisco IOS XE-Software ab - Software-Upgrade empfohlen

Die Selbstsignierte X.509-PKI-Zertifikate (SSC), die auf Geräten generiert wurden, auf denen betroffene Cisco IOS®- oder Cisco IOS XE-Softwareversionen ausgeführt werden, laufen am 01.01.2020 UTC ab. Nach dem 01.01.2020 UTC können auf den betroffenen Geräten keine neuen selbstsignierten Zertifikate mehr erstellt werden. Ein Dienst, der sich auf diese selbstsignierten Zertifikate stützt, um eine sichere Verbindung herzustellen oder zu beenden, funktioniert möglicherweise nach Ablauf des Zertifikats nicht mehr.

Dieses Problem betrifft nur selbstsignierte Zertifikate, die vom Cisco IOS- oder Cisco IOS XE-Gerät generiert und auf einen Dienst auf dem Gerät angewendet wurden. Zertifikate, die von einer Zertifizierungsstelle (Certificate Authority, CA) erstellt wurden, einschließlich der von der Cisco IOS CA-Funktion erstellten Zertifikate, sind von diesem Problem nicht betroffen.

Hinweis: Um von diesem Problem betroffen zu sein, muss auf einem Gerät ein selbstsigniertes Zertifikat definiert sein UND das selbstsignierte Zertifikat muss auf eine oder mehrere der unten beschriebenen Funktionen angewendet werden. Das Vorhandensein eines selbstsignierten Zertifikats allein hat keine Auswirkungen auf den Betrieb des Geräts, wenn das Zertifikat abläuft und keine sofortigen Maßnahmen erforderlich sind.

Eine detaillierte Auflistung finden Sie auf folgenden Link direkt bei Cisco.

Quelle:

https://www.cisco.com/c/en/us/support/docs/field-notices/704/fn70489.html

Kritische Sicherheitslücke in Apache Struts

Cisco Systems hat eine Schwachstelle in seinen Produkten festgestellt, welche äußerst kritisch für Unternehmen sein kann.

Apache Struts ist ein quelloffenes Jave-Framework für das Entwickeln und Bereitstellen von Web-Applikationen.

Die Sicherheitslücke ermöglicht es Angreifern Schadcode, über die Eingabe von Apache Struts, auf gezielte Systeme auszuführen.

Betroffene Produkte:

Product

Cisco Bug ID

Fixed Release Availability

Network and Content Security Devices

Cisco Identity Services Engine (ISE)

CSCvm14030

Fix will be provided (31-Aug-2018)

Network Management and Provisioning

Cisco Unified Intelligence Center

CSCvm13984

Voice and Unified Communications Devices

Cisco Emergency Responder

CSCvm14044

Cisco Hosted Collaboration Solution for Contact Center

CSCvm14052

Cisco Unified Communications Manager IM & Presence Service (formerly CUPS)

CSCvm14049

Cisco Unified Communications Manager

CSCvm14042

Cisco Unified Contact Center Enterprise

CSCvm13986

Cisco Unified Intelligent Contact Management Enterprise

CSCvm13986

Cisco Unified SIP Proxy Software

CSCvm13980

Cisco Unified Survivable Remote Site Telephony Manager

CSCvm13979

Cisco Unity Connection

CSCvm14043

Video, Streaming, TelePresence, and Transcoding Devices

Cisco Video Distribution Suite for Internet Streaming (VDS-IS)

CSCvm14027

Fix planned (15-Sept-2018)

Cisco Cloud Hosted Services

Cisco Network Performance Analysis

  

Administratoren sollten zügig die fehlerbereinigten Versionen der Komponenten installieren, wenn sie verfügbar sind.

Weitere Informationen:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180823-apache-struts

 

Kritische Sicherheitslücken bei Cisco-Produkten

Der Netzwerkausrüster Cisco Systems hat einige Schwachstellen in seinen Produkten entdeckt, welche kritisch für Unternehmen sind und welche schnellstens geschlossen werden sollten.

Besonders gravierend ist eine Sicherheitslücke in der Software Cisco Prime. Angreifer können sich ohne Autorisierung über das Netzwerk verbinden und Daten speichern sowie ausführen.

Auch in den Produkten Cisco ACS, Smart Install-Funktion von Cisco IOS und Cisco WebEx liegen kritische Sicherheitslücken vor, welche zeitnah beseitigt werden müssen.

Cisco hat zur Absicherung der betroffenen Systeme bereits eine Reihe an Software Updates veröffentlicht. Administratoren sollten zügig die fehlerbereinigten Versionen der Komponenten installieren.

Weitere Quellen und Informationen:

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&impact=critical&last_published=2018%20May&sort=-day_sir&limit=50#~Vulnerabilities

VPN Sicherheitslücke bei Cisco Adaptive Security Appliance Software (ASA)

Mit dem aktuellen Update schließt Cisco Systems eine äußerst kritische Sicherheitslücke in seinen ASA Firewall Systemen.

Die Schwachstelle stammt aus der VPN-Funktion der ASA Firewall Software und kann von Angreifern ausgenutzt werden.

Angreifer können mit präparierten XML-Pakete Fehler die Firewall Systeme gezielt abstürzen lassen. Die Geräte können im Anschluss kompromittiert werden.

Bedroht sind daher grundsätzlich nur Unternehmen und Nutzer, welche die VPN-Funktion nutzen und aktiviert haben.

 

Cisco hat zur Absicherung der betroffenen Systeme bereits eine Reihe an Software Updates veröffentlicht.

Betroffene Administratoren sollten zügig die VPN-Funktion deaktivieren und fehlerbereinigte Versionen der Komponenten installieren.

 

Betroffene Produkte:

·         3000 Series Industrial Security Appliance (ISA)

·         ASA 5500 Series Adaptive Security Appliances

·         ASA 5500-X Series Next-Generation Firewalls

·         ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers

·         ASA 1000V Cloud Firewall

·         Adaptive Security Virtual Appliance (ASAv)

·         Firepower 2100 Series Security Appliance

·         Firepower 4110 Security Appliance

·         Firepower 9300 ASA Security Module

·         Firepower Threat Defense Software (FTD)

 

Fixed Release:

Cisco ASA Major Release

First Fixed Release

Alt

8.x1

Affected; migrate to 9.1.7.23

Affected; migrate to 9.1.7.20 or later

9.0

Affected; migrate to 9.1.7.23

Affected; migrate to 9.1.7.20 or later

9.1

9.1.7.23

9.1.7.20

9.2

9.2.4.27

9.2.4.25

9.3

Affected; migrate to 9.4.4.16

Affected; migrate to 9.4.4.14 or later

9.4

9.4.4.16

9.4.4.14

9.5

Affected; migrate to 9.6.4.3

Affected; migrate to 9.6.4.20 or later

9.6

9.6.4.3

9.6.4.20

9.7

9.7.1.21

9.7.1.16

9.8

9.8.2.20

9.8.2.14

9.9

9.9.1.2

9.9.1.2

 


WPA2 Key Reinstallation Vulnerabilities

Die Sicherheitsforscher haben kritische Sicherheitslücken in der WLAN Verschlüsselung „WPA2“ entdeckt.

Mithilfe dieser Sicherheitslücke können Angreifer unautorisiert WPA2 aufbrechen und geschützten Datenverkehr mitlesen.

Passwörter oder Pre-shared keys können bei dieser Attacke aber nicht entwendet werden.

 

Die Hersteller Cisco und HPE haben bereits reagiert und einige Software Updates für die betroffenen Geräte veröffentlicht.

Weitere Sicherheitsupdates werden in den kommenden Tagen auf den Software Plattformen der Hersteller erwartet.

Sollten Sie weitere Informationen oder Unterstützung beim Aufspielen der neuen Software benötigen, unterstützt Sie Pan Dacom sehr gerne.

 

Betroffene Produkte im Portfolio der Pan Dacom:

HPE/Aruba Access Points, Cisco AnyConnect Secure Mobility Client, Cisco Aironet Serie, Cisco Meraki MR Serie, Cisco WAP Serie, Cisco ASA 5506W-X, Cisco IP Phone 8800 Serie und ähnliche wirelessfähige Endgeräte 

 

Weitere Informationen:

·        Cisco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa

·        HPE/Aruba:http://www.arubanetworks.com/support-services/security-bulletins/

Sicherheitslücken bei Cisco ASA geschlossen

Mit dem aktuellen Update schließt Cisco System mehrere Sicherheitslücken in seinen ASA Firewall Systemen. Die Warnstufen sind mit jeweils "hoch" versehen, da sie für Denial-of-Service-Attacken ausgenutzt werden können.

Dadurch können Angreifer die Firewall Systeme gezielt abstürzen lassen. Schadcode kann nach der aktuellen Einschätzung mit Hilfe der Lücken nicht direkt ausgeführt werden. Durch den Ausfall der Firewalls sind aber die Netzwerke und User ungeschützt vor weiteren gezielten Attacken.

Cisco hat zur Absicherung der betroffenen Systeme bereits eine Reihe an Software Updates veröffentlicht. Administratoren sollten zügig die fehlerbereinigten Versionen der Komponenten installieren.

Weitere Quellen und Informationen:

 https://tools.cisco.com/security/center/publicationListing.x

 

Cisco ASA 5500-X Series Firewalls: Fataler Funktionsfehler ARP nach 213 Tagen Uptime!!

ARP functions fail after 213 days of uptime, drop with error 'punt-rate-limit-exceeded'

Description

Symptom:
An ASA, after reaching an uptime of roughly 213 days will fail to process ARP packets leading to a condition where all traffic stops passing through the affected device.

Additional symptoms include:
- ASA does not have ARP entries in its ARP table. show arp is empty
- The output of show asp drop and ASP drop captures indicate a rapidly increasing counter for punt-rate-limit exceeded and the dropped packets are predominantly ARP.

IMAGES WITH FIXES
Images with fixes for this defect will be published as soon as they are available, and posted to the Cisco Software Download center.

Conditions:
This is seen when the ASA's uptime reaches 213 days.

This problem affects ASA and FTD versions:
ASA version 9.1 releases 9.1(7)8 and higher
ASA version 9.2 releases 9.2(4)15 and higher
ASA version 9.4 releases 9.4(3)5 and higher including 9.4(4)
ASA version 9.5 releases 9.5(3) and higher
ASA version 9.6 releases 9.6(2)1 and higher including 9.6(3)
ASA version 9.7 releases 9.7(1) and higher
FTD version 6.1 releases 6.1.0.1 and higher
FTD version 6.2 releases 6.2.0 and higher

Workaround:
Perform a pre-planned reboot of the device before approaching the 213 days (5124 hours) of up time. After the reboot, it will give you another 213 days of up time.

Further Problem Description:
Devices encountering this issue will not receive or respond to ARP packets. This affects not just transient traffic, but also access to the affected device - including Administration access such as SSH, HTTPS and Telnet. Console access is not affected.

More information about this issue can be found in the Following Field Notice:
http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64291.html

And in the following Cisco Blog Post:
http://blogs.cisco.com/security/urgent-proactive-customer-notification-asa

Status:

Fixed

Severity:

1 Catastrophic  

Product:

 

 

Cisco ASA 5500-X Series Firewalls

9.1(7.9) 9.2(4.15) 9.4(3.5) 9.4(4) 9.5(3) 9.6(2.1) 9.6(3) 9.7(1)    

Known Fixed Releases: 100.13(0.161) 100.11(0.77) 100.8(40.131) 99.1(20.21) 99.1(10.4) 98.1(12.68) 98.1(1.123) 98.1(1.122) 98.1(0.13) 97.1(0.157) 96.2(0.139) 9.8(0.101) 9.7(1.4) 9.6(3.1) 9.6(2.16) 9.5(3.8) 9.4(4.5) 9.2(4.20) 9.1(7.16)  

 

<p>In unserem kostenfreien Webinar geben wir Ihnen Einblicke wie eine sichere und stabile Infrastruktur für Schulen geschaffen werden kann und wie diese effizient, ohne komplexe…

Weiterlesen

Der Bedarf an Sicherheits-Know-how und -technologien ist für Unternehmen heute zweifellos höher denn je. Die Bandbreite aktueller Bedrohungen hat sich in den letzten Jahren deutlich erweitert –…

Weiterlesen

<p>In der Pan Dacom Sprechstunde für Digitalisierung&nbsp;beraten wir Sie kostenfrei und unverbindlich.&nbsp;<br /> Dabei gehen wir individuell auf Ihre akuten oder aktuellen Herausforderungen…

Weiterlesen


Seite drucken
Google+