Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/02/2014
Els encaminadors Cisco ANSA 5500 sèries pertanyen a la línia de dispositius de seguretat de la xarxa que van ser introduïts per primera vegada al maig del 2005.
La primera de les vulnerabilitats, amb identificador CVE-2014-0738 (codi intern de Cisco CSCuj66770), es basa en un error causat per una autenticació insuficient per a l’arxiu CTL (Certificate Trust List) que podria permetre modificar les entitats de confiança d’un telèfon IP. Un atacant remot sense autenticar podria aprofitar esta vulnerabilitat per a afectar la integritat del sistema per mitjà d’arxius CTL especialment manipulats per a eixe propòsit.
L’altra vulnerabilitat, amb identificador CVE-2014-0739 (codi intern de Cisco CSCuj66766), també presenta el mateix impacte; però en este cas, es deu a un error en l’obtenció d’un arxiu de configuració a través de TFTP, cosa que podria permetre tràfic d’un telèfon no autoritzat. Igual que la vulnerabilitat anterior, un atacant també remot i sense autenticar podria aprofitar-se d’esta vulnerabilitat per mitjà de l’ús de peticions TFTP especialment manipulades.
Cisco Adaptive Security Appliance (ASA) Software -> 9.1 .1, .1.4, .2, .2.8, .3
Referències:CVE-2014-0738, CVE-2014-0739
Solució:Els usuaris afectats hauran de contactar amb el seu canal de suport per a obtindre'n versions actualitzades, ja que Cisco no oferix actualitzacions gratuïtes per als problemes considerats de gravetat baixa a mitjana.