jueves, 1 de noviembre de 2012

Cisco publica boletines de seguridad para Prime Data Center Network Manager y Unified MeetingPlace


Los boletines publicados por Cisco, tienen carácter crítico/importante, tratando una ejecución de comandos arbitrarios en caso de Prime DCNM y una inyección SQL y denegación de servicio en caso de Unified MeetingPlace. Todas las vulnerabilidades son explotables de forma remota.

El primero de los boletines describe una vulnerabilidad  que podría permitir la ejecución de comandos arbitrarios en Cisco Prime Data Center Network Manager (también conocido como Cisco Prime DCNM o simplemente DCNM). Se trata una herramienta de administración y monitorización para centros de datos virtualizados. En ella se integran dispositivos de red, almacenamiento y sistemas, y se utiliza sobre todo para administrar plataformas Cisco y dispositivos con NX-OS. Puede desplegarse en sistemas Windows y Linux.

La vulnerabilidad, con identificador CVE-2012-5417, afecta a las versiones de este software anteriores a la 6.1(1). Se debe a la exposición a usuarios no autorizados del servicio MainDeployer del JBoss Application Server Remote Method Invocation (RMI). A través de este,  un atacante remoto sin autenticar podría pasar comandos arbitrarios al sistema subyacente al DCNM, que se ejecutarían en el contexto del usuario System o root dependiendo del sistema.

El segundo boletín describe dos vulnerabilidades en Cisco Unified MeetingPlace Web Conferencing, una herramienta de tele-presencia que permite realizar teleconferencias con audio y vídeo. Afecta a las versiones anteriores a la 7, esta incluida, además de la 7.1, 8.0 y 8.5.

La primera y de mayor gravedad, radica en una insuficiente validación de los parámetros pasados a través de una petición HTTP POST, permitiendo a un atacante remoto sin autenticar inyectar sentencias SQL en la petición, que sería interpretadas por la base de datos de la aplicación. De esta manera, se podría cambiar o eliminar datos referentes a la configuración, usuarios y uso de la aplicación. Se le ha asignado el identificador CVE-2012-0337.

Con CVE 2012-5416, la segunda vulnerabilidad trata otro fallo de validación. En este caso, un usuario remoto sin autenticar podría provocar un desbordamiento del búfer en la aplicación a través de la manipulando de ciertos valores vulnerables en una petición HTTP POST. Esto provocaría que el sistema dejara de responder, causando una denegación de servicio.

Cisco ha publicado en su sitio parches que solucionan las vulnerabilidades en los sistemas afectados. En el caso de la vulnerabilidad en Prime DCNM, recomienda además restringir las conexiones a los puertos TCP 1099 o 9099, en los cuales comienzan las transacciones RMI, como contramedida temporal. En los boletines, Cisco afirma no tener evidencias de la explotación pública de estas vulnerabilidades.

Más información

Cisco Prime Data Center Network Manager Remote Command Execution Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121031-dcnm

Multiple Vulnerabilities in Cisco Unified MeetingPlace Web Conferencing
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121031-mp


Francisco López
flopez@hispasec.com
Etiquetas: ,
Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017