Sicherheitslöcher bei Cisco und IBM Lotus
Das US-CERT hat vor Schwachstellen in IBMs Software »Lotus Sametime« und mehreren Cisco-Produkten gewarnt. Sie könnten unter anderem für Denial-of-Service-Angriffe benutzt werden.
Wie die Online-Ausgabe der Network Computing berichtet, warnt das United States Computer Emergency Readiness Team (US-CERT) vor Sicherheitslücken in mehreren Cisco Software-Produkten, sowie in Lotus Sametime von IBM:
Cisco teilte vergangene Woche mit, dass die IOS Secure Shell, Service-Control-Engine sowie Voice-Portal Sicherheitslücken enthalten. Die Lücken betreffen die SSH-Implementierung (Secure Shell) in IOS und der Service-Control-Engine. Betroffen sind Systeme, auf denen die IOS-Version 12.4 implementiert ist. Frühere Ausgaben der Software weisen den Fehler nicht auf. Der Effekt: Ein Angreifer kann das System, auf dem IOS 12.4 vorhanden ist, neu starten und eine Denial-of-Service-Attacke durchführen. Details dazu hat Cisco in einem Security-Advisory veröffentlicht.
Die Schwachstelle in Lotus Sametime wurde bereits im Dezember vergangenen Jahres von der IT-Sicherheitsfirma Tipping Point entdeckt und IBM gemeldet. Grundlage der Schwachstelle ist die Art, wie der »Community Services Multiplexer« von Sametime lange Internet-Adressen (URLs) verarbeitet. Eine von Angreifern präparierte URL kann einen Stack-Overflow auslösen. Dieser wiederum lässt sich dazu nutzen, um fremden Code auf einem Rechner auszuführen, auf dem Sametime läuft. Das Unternehmen stellt jetzt für Sametime 8.0.1 und 7.5.1 Patches bereit.
Es ist dringend zu empfehlen, die Patches von IBM und Cisco für die betroffene Software einzuspielen.
