Sicherheitslöcher in Lotus Sametime und Cisco-Software

Das US-CERT hat vor Schwachstellen in IBMs Software »Lotus Sametime« und mehreren Cisco-Produkten gewarnt. Sie könnten unter anderem für Denial-of-Service-Angriffe benutzt werden.

Die Schwachstelle in Lotus Sametime wurde bereits im Dezember vergangenen Jahres von der IT-Sicherheitsfirma Tipping Point entdeckt und IBM gemeldet. Jetzt stellt das Unternehmen für Sametime 8.0.1 und 7.5.1 Patches bereit.

Grundlage der Schwachstelle ist die Art, wie der »Community Services Multiplexer« von Sametime lange Internet-Adressen (URLs) verarbeitet. Eine von Angreifern präparierte URL kann einen Stack-Overflow auslösen. Dieser wiederum lässt sich dazu nutzen, um fremden Code auf einem Rechner auszuführen, auf dem Sametime läuft.

Cisco dagegen teilte vergangene Woche mit, dass die IOS Secure Shell, Service-Control-Engine sowie Voice-Portal Sicherheitslücken enthalten. Details dazu hat Cisco in einem Security-Advisory veröffentlicht.

Die Lücken betreffen die SSH-Implementierung (Secure Shell) in IOS und der Service-Control-Engine. Betroffen sind Systeme, auf denen die IOS-Version 12.4 implementiert ist. Frühere Ausgaben der Software weisen den Fehler nicht auf.

Der Effekt: Ein Angreifer kann das System, auf dem IOS 12.4 vorhanden ist, neu starten und eine Denial-of-Service-Attacke durchführen.

Bei Voice-Portal ist es dagegen möglich, dass ein Benutzer ein »Super-User«-Konto anlegt. Auf diese Weise kann er sich quasi zum Systemverwalter aufschwingen.

Es ist dringend zu empfehlen, die Patches von IBM und Cisco für die betroffene Software einzuspielen.