Múltiples vulnerabilitats en productes Cisco
Cisco ha publicat diverses vulnerabilitats que afecten alguns dels seus productes.
Risc: Crític
S'han publicat 28 vulnerabilitats, 2 d'elles de severitat crítica, 11 d'alta i 15 de mitjana.
Concretament les crítiques consten de:
-Vulnerabilitat CVE-2018-0321 en un port obert en el servei Network Interfície Configuration Engine que un atacant podria explotar accedint al sistema RMI obert a una instància de PCP afectat, realitzant accions malicioses que afecten el PCP i a tots els dispositius connectats a aquell.
-Una altra vulnerabilitat CVE-2018-0315 atribuïda a operacions de memòria incorrectes a l'analitzar el nom d'usuari proporcionat durant l'autenticació, que podria permetre a un atacant executar codi arbitrari en el dispositiu o causar-li sobrecàrrega, resultant en denegació de servei.
Sistemes Afectats:
- Cisco Prime Collaboration Provisioning (PCP) versions 12.2 i anteriors
- Cisco AsyncOSversions de programari WSA 10.5.1, 10.5.2 y 11.0.0
- Cisco Network Services Orchestrator (NSO) versions 4.1 fins a la 4.1.6.0; 4.2 fins a la 4.2.4.0; 4.3 fins a la 4.3.3.0 i 4.4 fins a la 4.4.2.0
- Cisco IP Phone 6800, 7800 i 8800 amb una versió de firmware multiplataforma anterior a la 11.1(2)
- Els productes Prime Collaboration Assurance i Prime Collaboration Provisioning.
- Els següents productes basats en Cisco Voice Operating System (VÓS):
- Emergency Responder.
- Finesse.
- Hosted Collaboration Mediation Fulfillment.
- MediaSense.
- Prime License Manager.
- SocialMiner.
- Unified Communications Manager (UCM).
- Unified Communications Manager IM and Presence Service (IM&P) (les versions anteriors eren conegudes com
- Cisco Unified Presence).
- Unified Communication Manager Session Management Edition (SME).
- Unified Contact Center Express (UCCx).
- Unified Intelligence Center (UIC).
- Unity Connection y Virtualized Voice Browser.
- Cisco Meeting Server (CMS) 2000 Platforms executant versions de Software CMS anterior a la 2.2.13 o la versió 2.3.4
- Cisco ASA Software y Cisco Firepower Threat Defense (FTD) Software, sobre els productes següents:
- 3000 Series Industrial Security Appliance (ISA).
- ASA 1000V Cloud Firewall.
- ASA 5500 Series Adaptive Security Appliances.
- ASA 5500-X Series Next-Generation Firewalls.
- ASA Services Module for Cisco Catalyst 6500 Series Switches i Cisco 7600 Series Routers.
- Adaptive Security Virtual Appliance (ASAv).
- Firepower 2100 Series Security Appliance.
- Firepower 4100 Series Security Appliance.
- Firepower 9300 ASA Security Module.
- FTD Virtual (FTDv).
- Cisco Unified IP Phone software. Cisco WebEx.
- Cisco Wide Area Application Services (WAAS) Programari amb la configuració per defecte.
- Cisco Integrated Management Controller Supervisor Software i Cisco UCS Director Software.
- Cisco Unified Computing System (UCS) Software.
- Cisco Prime Collaboration Provisioning.
- Cisco Identity Services Engine (ISE).
- Cisco Unified Communications Manager.
- Cisco Unity Connection.
- Cisco FireSIGHT System Software.
- Cisco AnyConnect Network Access Manager i Cisco AnyConnect Secure Mobility Client for iOS, Mac OS X, Android, Windows i Linux
Referències: CVE-2018-0353, CVE-2018-0320, CVE-2018-0318, CVE-2018-0319, CVE-2018-0317, CVE-2018-0322, CVE-2018-0274, CVE-2018-0316, CVE-2017-6779, CVE-2018-0263, CVE-2018-0296, CVE-2018-0332, CVE-2018-0357, CVE-2018-0356, CVE-2018-0329, CVE-2018-0352, CVE-2018-0149, CVE-2018-0338, CVE-2018-0340, CVE-2018-0336, CVE-2018-0339, CVE-2018-0355, CVE-2018-0354, CVE-2018-0335, CVE-2018-0333, CVE-2018-0334
Solució:Cisco ha posat a disposició dels usuaris diverses actualitzacions en funció del producte afectat. Les actualitzacions que corregeixen les vulnerabilitats poden descarregar-se des del web del fabricant, segons el model i versió afectats.
Notes: None