Cisco
ha publicado su paquete
bianual de alertas de seguridad para el software Cisco IOS. En esta ocasión
la firma distribuye siete avisos que
solucionan un total de 16 vulnerabilidades en sus routers y switches.
El
primero de los boletines publicados, y posiblemente el de mayor gravedad,
hace referencia a tres vulnerabilidades en la característica Autonomic
Networking Infrastructure (ANI) del software Cisco IOS e IOS XE. Los problemas podrían
permitir, a un atacante remoto sin autenticar, provocar condiciones de denegación de servicio o conseguir un control
limitado del dispositivo.
Afecta a los siguientes dispositivos Cisco IOS con soporte
ANI:
Cisco
Aggregation Services Routers Series ASR 901, 901S y 903
Cisco
Ethernet Access Switches Series ME 3600, 3600X y 3800X
Otra alerta reside en una
vulnerabilidad en el subsistema de rutado y reenvío virtual (VRF o Virtual Routing
and Forwarding) del software Cisco IOS, que podría permitir a atacantes remotos
sin autenticar provocar condiciones de
denegación de servicio. Se ven afectados los dispositivos con determinadas
configuraciones cuando uno o más interfaces físicos están asignados a un
interfaz VRF.
Una
vulnerabilidad en el módulo de entrada TCP de Cisco IOS e IOS-XE podría
permitir a atacantes remotos sin autenticar provocar una fuga de memoria o un reinicio del dispositivo afectado.
Afecta a dispositivos con Cisco IOS o Cisco IOS XE.
Dos
vulnerabilidades residen en el subsistema de intercambio de llaves IKE
(Internet Key Exchange o IKE) versión 2. Afecta a dispositivos con Cisco IOS o
Cisco IOS XE con IKEv1 o ISAKMP activo. Tres
vulnerabilidades residen en la implementación en Cisco IOS de la
característica Common Industrial Protocol (CIP) al tratar paquetes CIP
específicamente manipulados. Afecta al software Cisco IOS si CIP está habilitado
en una interfaz.
Por último, cinco
vulnerabilidades diferentes afectan al software Cisco IOS XE en routers Cisco
ASR 1000 Series, Cisco 4400 Series y Cisco Cloud Services Routers (CSR) 1000v
Series. Los problemas residen en la funcionalidad high-speed logging (HSL), en
el componente AppNav, en el análisis IPv6, en Layer 4 Redirect (L4R) y en el
tratamiento de Common Flow Table (CFT).
Los CVEs asignados a las
vulnerabilidades van del CVE-2015-0635 al CVE-2015-0650. Todas las vulnerabilidades
podrían permitir a atacantes remotos sin autenticar provocar condiciones de denegación de servicio.
Al igual que otros fabricantes
Cisco realiza publicaciones conjuntas de las actualizaciones de sus productos
Cisco IOS de forma periódica. Estas se realizan el cuarto miércoles de los
meses de abril y septiembre de cada año.
Cisco ha publicado
actualizaciones gratuitas para corregir todas las vulnerabilidades.
Más información:
Cisco Event Response: March 2015 Semiannual
Cisco IOS and IOS XE Software Security Advisory Bundled Publication
Multiple Vulnerabilities in Cisco IOS and IOS
XE Software Autonomic Networking Infrastructure
Cisco IOS Software Virtual Routing and Forwarding
ICMP Queue Wedge Vulnerability
Cisco IOS Software and IOS XE Software Internet
Key Exchange Version 2 Denial of Service Vulnerabilities
Multiple Vulnerabilities in Cisco IOS Software
Common Industrial Protocol
Cisco IOS and IOS XE Software mDNS Gateway
Denial of Service Vulnerability
Cisco IOS Software and IOS XE Software TCP
Packet Memory Leak Vulnerability
Multiple Vulnerabilities in Cisco IOS XE
Software for Cisco ASR 1000 Series, Cisco ISR 4400 Series, and Cisco Cloud
Services 1000v Series Routers
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario