CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

28/10/2011

Cisco publica cinco boletines de seguridad

Cisco ha publicado cinco boletines de seguridad que solventan diversas vulnerabilidades, entre las que se encuentran dos escaladas de directorios, dos ejecuciones de código y una denegación de servicio.

Riesgo: Alto

Los productos afectados son los siguientes:

Cisco Unified Contact Center Express: Permitiría a un usuario remoto no autenticado obtener ficheros a través de una URL especialmente manipulada mediante una escalada de directorios. (CVE-2011-3315)
Cisco Security Agent: El fallo, que permitiría una ejecución de código arbitrario, es debido a dos vulnerabilidades de software externo a Cisco, presentes en la librería 'Oracle Outside In' utilizada por Cisco Security Agent. (CVE-2011-0794 y CVE-2011-0808)
Cisco Video Surveillance IP Cameras: Una denegación de servicio causada por el envío de paquetes RTSP TCP especialmente manipulados, causaría que las cámaras dejasen de emitir las imágenes grabadas y procediesen a reiniciarse. (CVE-2011-3318)
Cisco WebEx Player: Varios desbordamientos de memoria intermedia en el reproductor Cisco WebEx Recording Format (WRF), podrían permitir que un atacante remoto ejecutase código arbitrario con los permisos del usuario afectado. (CVE-2011-3319 y CVE-2011-4004)
Cisco Unified Communications Manager: El componente de procesamiento de llamadas IP de Cisto también se encuentra afectado por un fallo que permitiría la revelación, a través de una escalada de directorios, del contenido de archivos que en teoría no deberían ser accesibles desde el exterior del sistema. (CVE-2011-3315)

Sistemas Afectados:

Cisco Unified Contact Center Express
Cisco Video Surveillance IP Cameras
Cisco Security Agent
Cisco WebEx Player
Cisco Unified Communications Manager

Referencias:

CVE-2011-3315,CVE-2011-0794,CVE-2011-0808,CVE-2011-3318,CVE-2011-3319,CVE-2011-4004,CVE-2011-3315

Solución:

Junto con los boletines de seguridad, Cisco ha publicado las correspondientes actualizaciones que solventan todas las vulnerabilidades comentadas.

Notas:

Cisco Unified Contact Center Express Directory Traversal Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-uccx

Cisco Security Agent Remote Code Execution Vulnerabilities

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-csa

Denial of Service Vulnerability in Cisco Video Surveillance IP Cameras

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-camera

Buffer Overflow Vulnerabilities in the Cisco WebEx Player

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-webex

Cisco Unified Communications Manager Directory Traversal Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-cucm

Fuente: Hispasec una-al-día

CSIRT-CV