Interne IP-Adresse auslesbar

Sicherheitslücke in Cisco ACE Produkten gemeldet

Über eine Schwachstelle in den Cisco Produkten ACE XML Gateway und ACE Web Application Firewall können sich Angreifer Informationen über das interne Netzwerk verschaffen.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in folgenden Produkten der Cisco ACE Serie auf:

  • Cisco ACE XML Gateway (Version 6.0 oder früher)

  • Cisco ACE Web Application Firewall (Version 6.0 oder früher)

Die Sicherheitslücke entsteht durch Fehlermeldungen der betroffenen Produkte, die bei ungültigen HTTP-Anfragen ausgegeben werden. Aus diesen Meldungen lässt sich die interne Adresse der Cisco ACE und damit des internen Netzwerks ableiten. Diese Informationen können zur Generation weiterer Angriffsvektoren dienen. Die Sicherheitslücke wird mit Version 6.1 beseitigt, die voraussichtlich im November 2009 erscheinen soll. (vgw)