Die australische Sicherheitsfirma Assurance.com.au hat mehrere Schwachstellen in der WLAN-Appliance "Wireless Lan Solution Engine" von Cisco Systems entdeckt. Es handelt sich um einen Cross-Site-Scripting-Fehler und die Möglichkeit, sich höhere Rechte zu verschaffen. Dieser zweite Punkt betrifft auch die Anwendungen "Hosting Solution Engine", "Ethernet Subscriber Solution Engine", "Ciscoworks 2000 Service Management Solution", "VLAN Policy Server" und die Serie "M1100" der "Cisco Management Engine". Cisco beschreibt die Probleme detailliert in einem Advisory.
Nach Aussagen von Adam Pointon, dem Leiter von Assurance.com.au, kann ein Angreifer die Sicherheitslecks "extrem leicht ausnutzen". Es sei möglich, sich Administratorrechte zu verschaffen und beispielsweise unerlaubte Software auf Ciscos Security-Appliance zu installieren, die dann "so gut wie nicht zu entdecken" ist.
Assurance.com.au entdeckte die Fehler im Januar und informierte daraufhin Cisco. Die Experten verständigten sich dann darauf, mit einer Bekanntgabe der Schwachstellen zu warten, bis Cisco entsprechende Patches entwickelt hat. Diese liegen jetzt vor und können von registrierten Cisco-com-Nutzern über die Homepage des Anbieters heruntergeladen werden. (ave)
