Cisco Unified MeetingPlace -miembro de la familia de Comunicaciones Unificadas de Cisco- es una solución de conferencias multimedia que permite realizar reuniones remotas. La solución integra conferencias de voz, vídeo y Web con capacidades de configuración y control.
El primero de los problemas corregidos reside en un error de validación de entradas que podría permitir a un atacante no autenticado realizar ataques de inyección SQL y manipular la base de datos de MeetingPlace.
Un segundo problema está provocado por un error en la validación de acceso en la interfaz interna, lo que podría permitir que un atacante no autenticado pueda crear cuentas de usuario o administrador de MeetingPlace.
Otro problema se desde a un error en el protocolo de autenticación de MeetingTime, lo que podría permitir a los atacantes acceder a información sensible en la base de datos de usuarios lo que incluiría nombres de usuarios y contraseñas.
Por último, un error en el protocolo de autenticación de MeetingTime, podría permitir a un atacante elevar sus privilegios de usuario normal a administrador.
Cisco ha publicado actualizaciones (MR5, 6.0.639.3 y 7.0(2.3) hotfix 5F disponibles para descarga desde:
http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278785523
La tabla de versiones afectadas y actualizaciones se encuentra disponible en el aviso de Cisco:
http://www.cisco.com/warp/public/707/cisco-sa-20100127-mp.shtml
Antonio Ropero
antonior@hispasec.com
antonior@hispasec.com
Más información:
Cisco Security Advisory: Multiple Vulnerabilities in Cisco Unified MeetingPlace
http://www.cisco.com/warp/public/707/cisco-sa-20100127-mp.shtml
0 comentarios:
Publicar un comentario en la entrada