Cisco publica cinc butlletins de seguretat
Cisco ha publicat cinc butlletins de seguretat que resolen diverses vulnerabilitats, entre les quals es troben dues escalades de directoris, dues execucions de codi i una denegació de servei.
Risc: Alt
Els productes afectats són els següents:
- Cisco Unified Contact Center Express: permetria a un usuari remot, no autenticat, obtindre fitxers a través d'una URL especialment manipulada per mitjà d'una escalada de directoris. (CVE-2011-3315)
- Cisco Security Agent: la fallada, que permetria una execució de codi arbitrari, és deguda a dues vulnerabilitats de programari extern a Cisco, presents en la llibreria 'Oracle Outside In' utilitzada per Cisco Security Agent. (CVE-2011-0794 i CVE-2011-0808)
- Cisco Vídeo Surveillance IP Cameras: una denegació de servei, causada per l'enviament de paquets RTSP TCP, especialment manipulats, causaria que les cambres deixaren d'emetre les imatges gravades i procediren a reiniciar-se. (CVE-2011-3318)
- Cisco WebEx Player: diversos desbordaments de memòria intermèdia, en el reproductor Cisco WebEx Recording Format (WRF), podrien permetre que un atacant remot executara codi arbitrari amb els permisos de l'usuari afectat. (CVE-2011-3319 i CVE-2011-4004)
- Cisco Unified Communications Manager: el component de processament de cridades IP de Cisco també es troba afectat per un fallada que permetria la revelació, a través d'una escalada de directoris, del contingut d'arxius que en teoria no haurien de ser accessibles des de l'exterior del sistema. (CVE-2011-3315)
Sistemes Afectats:
- Cisco Unified Contact Center Express
- Cisco Video Surveillance IP Cameras
- Cisco Security Agent
- Cisco WebEx Player
- Cisco Unified Communications Manager
Referències: CVE-2011-3315,CVE-2011-0794,CVE-2011-0808,CVE-2011-3318,CVE-2011-3319,CVE-2011-4004,CVE-2011-3315
Solució:Juntament amb els butlletins de seguretat, Cisco ha publicat les corresponents actualitzacions que resolen totes les vulnerabilitats comentades.
Notes: Cisco Unified Contact Center Express Directory Traversal Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-uccx
Cisco Security Agent Remote Code Execution Vulnerabilities
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-csa
Denial of Service Vulnerability in Cisco Video Surveillance IP Cameras
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-camera
Buffer Overflow Vulnerabilities in the Cisco WebEx Player
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-webex
Cisco Unified Communications Manager Directory Traversal Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-cucm