Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Salto de restricciones de seguridad en diversos productos Cisco

Salto de restricciones de seguridad en diversos productos Cisco

Por Leave a Comment

Cisco ha anunciado una vulnerabilidad que afecta a varios de sus
productos y que puede ser explotada por usuarios maliciosos para
saltarse ciertos mecanismos de seguridad.

La lista de productos afectados por el problema son los siguientes:
* Cisco PIX versiones de la 7.0.1 a la 7.0.4.2
* Cisco ASA 5500 versión 7.0.4.2. y anteriores
* CiscoWorks Common Services (CWCS) versión 2.2
* CiscoWorks Common Services (CWCS) versión 3.0
* Cisco Mainframe Channel Connection (CMCC) versión 28-22 y anteriores
* Cisco Global Site Selector (4480, 4490, 4491) versión 1.2 y
anteriores
* Cisco Wireless Control System Software versión 4.0 y anteriores
* Cisco IOS-XR versión 3.3 y anteriores

La vulnerabilidad se debe a un error en el tratamiento de la opción
SSL_OP_MSIE_SSLV2_RSA_PADDING. El uso de esta opción provoca una
comprobación que evita deshabilitar ataques de retroceso de versión de
protocolo. Esta circunstancia puede ser explotada por atacantes para
provocar que las comunicaciones se hagan con SSL 2.0 en vez de SSL 3.0
o TLS 1.0. Esta opción se usa también cuando se activa la opción
SSL_OP_ALL. Para que se pueda explotar la vulnerabilidad es necesario
que SSL 2.0 esté activado, y que o bien SSL_OP_MSIE_SSLV2_RSA_PADDING
o SSL_OP_ALL estén activados.

Las actualizaciones publicadas por Cisco son las siguientes:
* Cisco ASA 5500 y Cisco PIX con software 7.x: solventado en la
versión interina 7.0.4.3
* CiscoWorks Common Services (CWCS) versión 2.2: un parche puntual se
publicará el 2005-12-07
* CiscoWorks Common Services (CWCS) versión 3.0: un parche puntual se
publicará el 2005-12-16
* Cisco Mainframe Channel Connection (CMCC): la versión corregida
28-23 está programado para su publicación en diciembre del 2006
* Cisco Global Site Selector (4480, 4490, 4491): solventado en la
versión 1.2(2.2.0)
* Cisco Wireless Control System Software: se publicará una versión
corregida en febrero del 2006
* Cisco IOS-XR: se publicará una versión corregida en abril del 2006

Julio Canto
jcanto@hispasec.com

Más información:

Cisco Security Notice: Response to OpenSSL – Potential SSL 2.0 Rollback
http://www.cisco.com/warp/public/707/cisco-response-20051202-openssl.shtml

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.