Cisco
ha publicado seis boletines de seguridad
para solucionar otras tantas vulnerabilidades en múltiples productos que
podrían permitir a atacantes provocar condiciones de denegación de servicio,
ejecutar código arbitrario o acceder al dispositivo sin autorización.
Solo uno de los problemas es
considerado crítico y afecta a Cisco Meeting Server, mientras que otros
problemas de gravedad media afectan a Cisco Wide Area Application Services, Cisco
Unified Communications Manager, Cisco Prime Infrastructure, Evolved
Programmable Network Manager, Cisco Finesse y Cisco cBR-8 Converged Broadband
Router.
Cisco Cisco Meeting Server
El problema más grave, con CVE-2016-6445,
afecta al servicio Extensible Messaging and Presence Protocol (XMPP) de Cisco
Meeting Server (CMS) y podría permitir a un atacante remoto sin autenticar acceder
al sistema como un usuario legítimo.
Se ven afectadas las versiones de Cisco Meeting Server anteriores a la 2.0.6 con XMPP activo.
También afecta a Acano Server anteriores a 1.8.18 y anteriores a 1.9.6 con XMPP
activo.
Cisco ha publicado las siguientes
versiones actualizadas para los sistemas afectados:
Acano Server 1.8.18
Acano Server 1.9.6
Cisco Meeting Server 2.0.6
Las actualizaciones de firmware pueden
descargarse desde Software Center en Cisco.com accediendo a Products >
Conferencing > Video Conferencing > Multiparty Conferencing > Meeting
Server > Meeting Server 1000 > TelePresence Software.
Vulnerabilidades de gravedad media corregidas
Una vulnerabilidad (CVE-2016-6437)
en la administración de la caché de sesión SSL de los Cisco Wide Area Application
Services (WAAS) podría permitir a un atacante remoto sin autenticar provocar
una condición de denegación de servicio (DoS) por un elevado consumo del disco
duro.
Un problema, con CVE-2016-6440,
de falsificación de datos en un iframe de una página web afecta a Cisco Unified
Communications Manager (CUCM). Por otra parte, existe una vulnerabilidad (con CVE-2016-6443)
de inyección SQL en Cisco Prime Infrastructure y en Evolved Programmable Network
Manager SQL.
También se
ha confirmado una vulnerabilidad (con CVE-2016-6438) en el software Cisco IOS XE en routers Cisco cBR-8
Converged Broadband podría permitir a un atacante remote sin autenticar
provocar un cambio en la integridad de la configuración en el dispositivo
afectado.
Por
último, una vulnerabilidad de cross-site request forgery (CSRF) contra
la interfaz web de Cisco Finesse (CVE-2016-6442).
Este es el único problema para el que no se han publicado actualizaciones.
Más información:
Cisco Wide Area Application Services Central
Manager Denial of Service Vulnerability
Cisco Unified Communications Manager iFrame
Data Clickjacking Vulnerability
Cisco Prime Infrastructure and Evolved
Programmable Network Manager Database Interface SQL Injection
Cisco Meeting Server Client Authentication
Bypass Vulnerability
Cisco Finesse Cross-Site Request Forgery
Vulnerability
Cisco cBR-8 Converged Broadband Router vty
Integrity Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario