Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

28/10/2011

Cisco publica cinc butlletins de seguretat

Cisco ha publicat cinc butlletins de seguretat que resolen diverses vulnerabilitats, entre les quals es troben dues escalades de directoris, dues execucions de codi i una denegació de servei.

Els productes afectats són els següents:

• Cisco Unified Contact Center Express: permetria a un usuari remot, no autenticat, obtindre fitxers a través d'una URL especialment manipulada per mitjà d'una escalada de directoris. (CVE-2011-3315)
• Cisco Security Agent: la fallada, que permetria una execució de codi arbitrari, és deguda a dues vulnerabilitats de programari extern a Cisco, presents en la llibreria 'Oracle Outside In' utilitzada per Cisco Security Agent. (CVE-2011-0794 i CVE-2011-0808)
• Cisco Vídeo Surveillance IP Cameras: una denegació de servei, causada per l'enviament de paquets RTSP TCP, especialment manipulats, causaria que les cambres deixaren d'emetre les imatges gravades i procediren a reiniciar-se. (CVE-2011-3318)
• Cisco WebEx Player: diversos desbordaments de memòria intermèdia, en el reproductor Cisco WebEx Recording Format (WRF), podrien permetre que un atacant remot executara codi arbitrari amb els permisos de l'usuari afectat. (CVE-2011-3319 i CVE-2011-4004)
• Cisco Unified Communications Manager: el component de processament de cridades IP de Cisco també es troba afectat per un fallada que permetria la revelació, a través d'una escalada de directoris, del contingut d'arxius que en teoria no haurien de ser accessibles des de l'exterior del sistema. (CVE-2011-3315)

Sistemes Afectats:

• Cisco Unified Contact Center Express
• Cisco Video Surveillance IP Cameras
• Cisco Security Agent
• Cisco WebEx Player
• Cisco Unified Communications Manager

Referències:

CVE-2011-3315,CVE-2011-0794,CVE-2011-0808,CVE-2011-3318,CVE-2011-3319,CVE-2011-4004,CVE-2011-3315

Solució:

Juntament amb els butlletins de seguretat, Cisco ha publicat les corresponents actualitzacions que resolen totes les vulnerabilitats comentades.

Notes:

Cisco Unified Contact Center Express Directory Traversal Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-uccx

Cisco Security Agent Remote Code Execution Vulnerabilities

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-csa

Denial of Service Vulnerability in Cisco Video Surveillance IP Cameras

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-camera

Buffer Overflow Vulnerabilities in the Cisco WebEx Player

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-webex

Cisco Unified Communications Manager Directory Traversal Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-cucm

CSIRT-CV