Cisco und IBM müssen Löcher stopfen

Eine Reihe von Ciscos Sprach-Produkten, die auf einer IBM-Plattform laufen, soll Pressemeldungen zufolge fehlerhaft sein. Cisco hat inzwischen bestätigt, dass eine so genannte Default-Installierungsschwachstelle gefunden sei und stellte ein Stück Code zur Verfügung, das das Leck stopfen soll.
Die Lücke hatte es Angreifern ermöglicht, durch offene TCP (Transmission Control Protocol) und UDP (User Datagram Protocol, oft verwendet für Realtime-Video und -Audio-Ports) in ein Netzwerk einzudringen. Bei der Größenordnung der Netze, die durch Cisco-Produkte geregelt werden, hätte also ein beträchtlicher Schaden angerichtet werden können. Doch von tatsächlichen Schäden weiß Cisco bislang nichts. Weder Denial of Service-Angriffe noch eine Übernahme der Administration zu unlauteren Zwecken sei bislang vorgekommen.

Einzelne Sicherheitsfirmen stuften die Lücke als mäßig ein und empfehlen mit Cisco das Aufspielen des Repair Script. Die betroffenen Produkte sind bei Cisco: Cisco CallManager; Cisco IP Interactive Voice Response (IP IVR); Cisco IP Call Center Express (IPCC Express); Cisco Personal Assistant (PA); Cisco Emergency Responder (CER); Cisco Conference Connection (CCC) and the Cisco Internet Service Node (ISN). Und bei IBM: IBM X330 (8654 or 8674); IBM X340; IBM X342; IBM X345; MCS-7815-1000; MCS-7815I-2.0; MCS-7835I-2.4 and MCS-7835I-3.0.