CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

10/11/2015

Varias vulnerabilidades en productos Cisco

Cisco ha publicado un conjunto de actualizaciones que resuelven diferentes vulnerabilidades detectadas en algunos de sus productos.

Riesgo: Crítico

Las vulnerabilidades detectadas y corregidas con los parches aplicados podrían producir denegación de servicio (detectado en AsyncOS), inyección de comandos con privilegios de administrador (para Web Security Appliance), cuentas de administrador con credenciales por defecto y escalada de privilegios (ambos en la aplicación Mobility Services Engine).

Sistemas Afectados:

Cisco AsyncOS Software, versions para Web Security Appliance (WSA), Email Security Appliance (ESA), y Content Security Managemenr Appliance (SMA).

Cisco Mobility Services Engine (MSE) versión 8.0.120.7 y anteriores.

Referencias:

CVE-2015-6292, CVE-2015-6293, CVE-2015-6298, CVE-2015-6321, CVE-2015-6291, CVE-2015-6316, CVE-2015-4282

Solución:

Aplicar las actualizaciones publicadas para cada una de las aplicaciones afectadas.

Notas:

INCIBE
Cisco Web Security Appliance Cache Reply Denial of Service Vulnerability
Cisco Web Security Appliance Certificate Generation Command Injection Vulnerability
Cisco Web Security Appliance Range Request Denial of Service Vulnerability
Cisco Mobility Services Engine Privilege Escalation Vulnerability
Cisco Mobility Services Engine Static Credential Vulnerability
Cisco Email Security Appliance Email Scanner Denial of Service Vulnerability
Cisco AsyncOS TCP Flood Denial of Service Vulnerability

Fuente: Incibe

CSIRT-CV