Cisco hat vor einer neuen Schwachstelle in seinem Router-Betriebssystem Internetworking Operating System (IOS) gewarnt. Der darin enthaltene HTTP-Server zur Konfiguration von Routern oder Access-Servern via Web-Browser enthält dem Hersteller zufolge einen Bug, den ein Angreifer ausnutzen könnte, um entweder bösartigen Code auszuführen oder Cross-Site-Scripting-Attacken gegen andere Geräte zu starten. Eine ausführliche Beschreibung, wie sich die Schwachstelle ausnutzen lässt, ist im Internet zu finden. Betroffen sind alle Netzkomponenten mit einer IOS-Version zwischen 11.0 und 12.4 und aktiviertem HTTP-Server.

Software-Fixes sind momentan noch nicht verfügbar. Cisco bietet auf seiner Web-Seite jedoch Hilfe, um dem Problem aus dem Weg zu gehen. Dazu müssen Administratoren den HTTP-Server entweder komplett deaktivieren oder lediglich den HTTP-Dienst "Web_Exec" abschalten. Wie das geht, beschreibt der Hersteller in einem Advisory. Wo beides nicht möglich ist, rät Cisco, zumindest keine "Show"-Befehle über das Web-Interface abzusetzen. Der Anbieter will so schnell wie möglich einen Patch nachreichen, der die Schwachstelle beseitigt. (ave)