viernes, 14 de octubre de 2016

Actualizaciones para múltiples dispositivos Cisco

Cisco ha publicado seis boletines de seguridad para solucionar otras tantas vulnerabilidades en múltiples productos que podrían permitir a atacantes provocar condiciones de denegación de servicio, ejecutar código arbitrario o acceder al dispositivo sin autorización.

Solo uno de los problemas es considerado crítico y afecta a Cisco Meeting Server, mientras que otros problemas de gravedad media afectan a Cisco Wide Area Application Services, Cisco Unified Communications Manager, Cisco Prime Infrastructure, Evolved Programmable Network Manager, Cisco Finesse y Cisco cBR-8 Converged Broadband Router.

Cisco Cisco Meeting Server

El problema más grave, con CVE-2016-6445, afecta al servicio Extensible Messaging and Presence Protocol (XMPP) de Cisco Meeting Server (CMS) y podría permitir a un atacante remoto sin autenticar acceder al sistema como un usuario legítimo.

Se ven afectadas las versiones de Cisco Meeting Server anteriores a la 2.0.6 con XMPP activo. También afecta a Acano Server anteriores a 1.8.18 y anteriores a 1.9.6 con XMPP activo.

Cisco ha publicado las siguientes versiones actualizadas para los sistemas afectados:
Acano Server 1.8.18
Acano Server 1.9.6
Cisco Meeting Server 2.0.6

Las actualizaciones de firmware pueden descargarse desde Software Center en Cisco.com accediendo a Products > Conferencing > Video Conferencing > Multiparty Conferencing > Meeting Server > Meeting Server 1000 > TelePresence Software.

Vulnerabilidades de gravedad media corregidas

Una vulnerabilidad (CVE-2016-6437) en la administración de la caché de sesión SSL de los Cisco Wide Area Application Services (WAAS) podría permitir a un atacante remoto sin autenticar provocar una condición de denegación de servicio (DoS) por un elevado consumo del disco duro.

Un problema, con CVE-2016-6440, de falsificación de datos en un iframe de una página web afecta a Cisco Unified Communications Manager (CUCM). Por otra parte, existe una vulnerabilidad (con CVE-2016-6443) de inyección SQL en Cisco Prime Infrastructure y en Evolved Programmable Network Manager SQL.

También se ha confirmado una vulnerabilidad (con CVE-2016-6438) en el software Cisco IOS XE en routers Cisco cBR-8 Converged Broadband podría permitir a un atacante remote sin autenticar provocar un cambio en la integridad de la configuración en el dispositivo afectado.

Por último, una vulnerabilidad de cross-site request forgery (CSRF) contra la interfaz web de Cisco Finesse (CVE-2016-6442). Este es el único problema para el que no se han publicado actualizaciones.

Más información:

Cisco Wide Area Application Services Central Manager Denial of Service Vulnerability

Cisco Unified Communications Manager iFrame Data Clickjacking Vulnerability

Cisco Prime Infrastructure and Evolved Programmable Network Manager Database Interface SQL Injection

Cisco Meeting Server Client Authentication Bypass Vulnerability

Cisco Finesse Cross-Site Request Forgery Vulnerability

Cisco cBR-8 Converged Broadband Router vty Integrity Vulnerability



Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada