• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Actualizaciones para múltiples dispositivos Cisco

Actualizaciones para múltiples dispositivos Cisco

9 abril, 2017 Por Hispasec Deja un comentario

Cisco ha publicado 23 boletines de seguridadpara solucionar otras tantas vulnerabilidades (una crítica, tres de gravedad alta y el resto de importancia media) en múltiples productos que podrían permitir a atacantes provocar condiciones de denegación de servicio, de cross-site scripting, ejecutar código arbitrario o acceder al dispositivo sin autorización.
Los productos afectados son
  • Cisco Aironet 1830 Series y 1850 Series
  • Cisco Wireless LAN Controller
  • Cisco UCS Manager,
  • Cisco Firepower 4100 Series NGFW
  • Cisco Firepower 9300
  • Cisco UCS Director
  • Cisco Unified Communications Manager
  • Cisco Registered Envelope Service
  • Cisco IOS XE
  • Cisco Prime Infrastructure, Cisco Evolved Programmable Network Manager
  • Cisco Mobility Express 2800 y 3800 Series Wireless LAN Controllers
  • Cisco Integrated Management Controller
  • Cisco Firepower Detection Engine
  • Cisco ASR 903 y ASR 920
  • Cisco Aironet 1800, 2800 y 3800

La vulnerabilidadconsiderada crítica, con CVE-2017-3834, afecta a puntos de acceso Cisco Aironet 1830 Series y Cisco Aironet 1850 Series Access Points con software Cisco Mobility Express que podrían permitir a un atacante remote sin autenticar el acceso y control total de los dispositivos afectados.
Una vez más el fallo que parece afectar de forma recurrente a una gran mayoría de dispositivos Cisco, el recurrente problema de las credenciales estáticas por defecto.
Cuatro vulnerabilidades, tres de ellas consideradas de gravedad alta, afectan a Cisco Wireless LAN Controller y podrían permitir a atacantes remotos sin autenticas provocar condiciones de denegación de servicio (CVE-2017-3832, CVE-2016-9219, CVE-2016-9194y CVE-2016-9195).
Otras cuatro vulnerabilidades afectan a Cisco Unified Computing System (UCS) Manager, Cisco Firepower 4100 Series Next-Generation Firewall (NGFW) y Cisco Firepower 9300 y podrían permitir atacantes locales autenticados la inyección de comandos a través de la interfaz de línea de comandos (CVE-2017-6602, CVE-2017-6601, CVE-2017-6597y CVE-2017-6600). Esos mismos dispositivos también sufren una vulnerabilidadde inyección de comandos que podría permitir a un atacante local elevar sus privilegios (CVE-2017-6598).
Por otra parte, una vulnerabilidaden la comprobación de recursos basada en roles en Cisco Unified Computing System (UCS) Director podría permitir a un atacante remoto autenticado obtener información sensible de una máquina virtual en un dominio UCS (CVE-2017-3817).
Dos vulnerabilidades en la interfaz web de Cisco Unified Communications Manager que podrían permitir la realización de ataquesde cross-site scripting (CVE-2017-3888) o de inyección SQL (CVE-2017-3886).
Una vulnerabilidad en un script de inicio del software Cisco IOS XE podría permitir a un atacante sin autenticar con acceso físico al sistema la ejecución de comandos arbitrarios con privilegios del usuario root (CVE-2017-6606).
Una vulnerabilidad, con CVE-2016-9197, en el tratamiento de comandos de la interfaz de línea de comandos de los Cisco Mobility Express 2800 y 3800 Series Wireless LAN Controllers podría permitir a atacantes locales autenticados obtener acceso Shell con privilegios de root en el sistema operativo subyacente.
Una vulnerabilidaden la interfaz web de Cisco Prime Infrastructure y Cisco Evolved Programmable Network (EPN) Manager podría permitir a atacantes remotos autenticados accede a información sensible (CVE-2017-3884).
Una vulnerabilidaden la autenticación de Puntos de Acceso Cisco Aironet 1800, 2800 y 3800 podría permitir a aatacantes locales autenticados conseguir acceso root al sistema operative Linux subyacente (CVE-2016-9196).
Una vulnerabilidadde redirección abierta en Cisco Registered Envelope Service (CVE-2017-3889), y vulnerabilidades de denegación de servicio en Cisco IOS XR (CVE-2017-6599), en sistemas Cisco Firepower (CVE-2017-3887y CVE-2017-3885) y en el tratamiento de paquetes IPv6 en dispositivosCisco ASR 903 y ASR 920.
Cisco ha publicado actualizaciones para las vulnerabilidades consideradas de gravedad crítica y alta. Se recomienda consultar las alertas publicadas para obtener información sobre disponibilidad de parches y actualizaciones.
Más información:
Cisco Aironet 1830 Series and 1850 Series Access Points Mobility Express Default Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-ame
Cisco Wireless LAN Controller Management GUI Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-wlc3
Cisco Wireless LAN Controller IPv6 UDP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-wlc2
Cisco Wireless LAN Controller 802.11 WME Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-wlc
Cisco Wireless LAN Controller RADIUS Change of Authorization Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-wlc1
Cisco UCS Manager, Cisco Firepower 4100 Series NGFW, and Cisco Firepower 9300 Security Appliance CLI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-ucs1
Cisco UCS Director Virtual Machine Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-ucs-director
Cisco UCS Manager, Cisco Firepower 4100 Series NGFW, and Cisco Firepower 9300 Security Appliance Debug Plug-in Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-ucs
Cisco Unified Communications Manager Cross-Site Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-ucm1
Cisco Unified Communications Manager SQL Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-ucm
Cisco Registered Envelope Service Open Redirect Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-res
Cisco IOS XE Software Startup Script Local Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-iosxe
Cisco IOS XR Software Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-ios
Cisco Prime Infrastructure and Cisco Evolved Programmable Network Manager Web Interface Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-cpi
Cisco Mobility Express 2800 and 3800 Series Wireless LAN Controllers Shell Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-cme
Cisco UCS Manager, Cisco Firepower 4100 Series NGFW, and Cisco Firepower 9300 Security Appliance CLI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-cli2
Cisco UCS Manager, Cisco Firepower 4100 Series NGFW, and Cisco Firepower 9300 Security Appliance CLI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-cli1
Cisco UCS Manager, Cisco Firepower 4100 Series NGFW, and Cisco Firepower 9300 Security Appliance local-mgmt CLI Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-cli
Cisco Integrated Management Controller Redirection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-cimc
Cisco Firepower Detection Engine SSL Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-cfpw1
Cisco Firepower Detection Engine SSL Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-cfpw
Cisco ASR 903 and ASR 920 Series Devices IPv6 Packet Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-asr
Cisco Aironet 1800, 2800, and 3800 Series Access Point Platforms Shell Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170405-aironet
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR