viernes, 16 de septiembre de 2016

Actualizaciones para múltiples dispositivos Cisco

Cisco ha publicado nueve boletines de seguridad para solucionar otras tantas vulnerabilidades en múltiples productos que podrían permitir a atacantes provocar condiciones de denegación de servicio, ejecutar código arbitrario o acceder al dispositivo sin autorización.

Los productos afectados son Cisco Web Security Appliance, Cisco WebEx Meetings Server, Cisco Unified Computing System, Cisco Fog Director for IOx, Cisco IOS XR para NCS6000 Series, Cisco IOS and IOS XE y Cisco Carrier Routing System.


Cisco WebEx Meetings Server

Los problemas más graves afectan a Cisco WebEx Meetings Server. Por una parte una vulnerabilidad crítica, con CVE-2016-1482, por un filtrado inadecuado de los datos suministrados por el usuario que podría permitir a un atacante remoto sin autenticar evitar las restricciones de seguridad de un dispositivo en una DMZ e inyectar comandos en el sistema afectado. El atacante podría ejecutar comandos arbitrarios en el dispositivo con privilegios elevados.

Por otra parte, un segundo problema reside en una validación inadecuada de las cuentas de usuario por determinados servicios que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio.

Ambas vulnerabilidades se han solucionado en Cisco WebEx Meetings Server versión 2.7.

Cisco IOS e IOS XE

Otras dos vulnerabilidades afectan al software Cisco IOS e IOS XE. Un problema, con CVE-2016-6403, en la aplicación Data in Motion (DMo) del software Cisco IOS e IOS XE con la función IOx activa podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio en el proceso DMo.

Por otra parte, una validación inadecuada de algunos parámetros pasados al servidor web podría permitir a un atacante remoto sin autenticar construir ataques de cross-site scripting (XSS) contra usuarios de la interfaz web de los sistemas afectados.

Cisco ha publicado actualizaciones para evitar estos problemas.


Cisco Fog Director para IOx

Una vulnerabilidad debido a una validación insuficiente de las entradas del usuario en Cisco Fog Director para IOx podría permitir a un atacante remoto sin autenticar escribir o sobrescribir archivos arbitrarios en los sistemas afectados.

Cisco ha publicado actualizaciones para evitar este problema.

Cisco IOS XR para Cisco Network Convergence System (NCS) 6000

Una vulnerabilidad en el tratamiento de OSPFv3 del software Cisco IOS XR en dispositivos Cisco Network Convergence System (NCS) 6000 Series podría permitir a un atacante remoto sin autenticar provocar un reinicio del proceso OSPFv3 que resultaría en condiciones de denegación de servicio en los dispositivos afectados.

Cisco ha publicado actualizaciones para evitar este problema.


Cisco Unified Computing System

Una vulnerabilidad en la interfaz de línea de comandos del administrador de Cisco Unified Computing System (UCS) y de UCS 6200 Series Fabric Interconnects podría permitir a un atacante local autenticado acceder al sistema operativo de los dispositivos con privilegios de usuario root.

Cisco no ofrece actualizaciones para esta vulnerabilidad.


Cisco Carrier Routing System (CRS)

Una vulnerabilidad en el tratamiento de paquetes IPv6 sobre MLPS de Cisco IOS XR en plataformas Cisco Carrier Routing System (CRS) podría permitir a un atacante sin autenticar cercano al sistema provocar el reinicio de la tarjeta de la línea afectada.

Cisco no ofrece actualizaciones para esta vulnerabilidad.


Cisco Web Security Appliance

Una vulnerabilidad en la petición de reenvío http con Cisco AsyncOS en los Cisco Web Security Appliance (WSA) podría permitir a un atacante remote sin autenticar provocar condiciones de denegación de servicio por una saturación de enlaces. Un atacante podría aprovechar el problema mediante el envío de múltiples peticiones http específicamente construidas al dispositivo afectado.

Cisco no ofrece actualizaciones para esta vulnerabilidad.


Más información:

Cisco WebEx Meetings Server Remote Command Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-wem

Cisco WebEx Meetings Server Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-wms

Cisco Web Security Appliance HTTP Load Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-wsa

Cisco IOS and IOS XE Software Data in Motion Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-ios-xe

Cisco IOS and IOS XE Software IOx Local Manager Cross-Site Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-ios

Cisco Unified Computing System Command Line Interface Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-ucs
Cisco Fog Director for IOx Arbitrary File Write Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-ioxfd

Cisco Carrier Routing System IPv6 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-crs

Cisco IOS XR Software for NCS 6000 Series Devices OSPF Packet Processing Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160914-iosxr



Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017