Vulnerabilidades en diversos productos Cisco

El primero de los problemas, con CVE-2015-0681, reside en un tratamiento inadecuado de la memoria al manejar peticiones TFTP, lo que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio en dispositivos Cisco IOS y Cisco IOS XE. Son vulnerables los dispositivos Cisco IOS y Cisco IOS XE con el servidor TFTP activo.

Unsegundo aviso de seguridad se refiere a una vulnerabilidad (con CVE-2015-4235) en el administrador de configuraciones cluster de los Cisco Application Policy Infrastructure Controller (APIC) y de los switches Cisco Nexus Serie 9000 ACI Mode, que podría permitir a un atacante remoto sin autenticar acceder como usuario roor.

Esta vulnerabilidad afecta a sistemas Application Policy Infrastructure Controllers (APIC) con versiones de software anteriores a 1.1(1j), 1.0(3o) y 1.0(4o) y a switches Cisco Nexus Serie 9000 ACI Mode con versiones de software anteriores a 11.1(1j) y 11.0(4o).

Por último, con CVE-2015-4262, una vulnerabilidad en la funcionalidad de cambio de contraseña en la aplicación de conferencia web de Cisco Unified MeetingPlace podría permitir a un atacante remoto sin autenticar cambiar la contraseña de cualquier otro usuario.

Este problema reside en que no se requiere a los usuarios introducir la contraseña anterior durante el procedimiento de cambio de contraseña y a que no se valida el ID de sesión en la petición http. Afecta a todas las versiones de Cisco Unified MeetingPlace Web Conferencing anteriores a 8.6.

Cisco ha publicado actualizaciones para corregir estas vulnerabilidades, disponibles desde: