Múltiples vulnerabilidades en Cisco Unified MeetingPlace

Cisco ha publicado una actualización para Cisco Unified MeetingPlace y MeetingTime (de Comunicaciones Unificadas) que corrige múltiples fallos de seguridad que podrían permitir que un atacante conseguir acceso a información sensible, manipular datos o elevar los privilegios del usuario en los sistemas afectados.

Cisco Unified MeetingPlace -miembro de la familia de Comunicaciones Unificadas de Cisco- es una solución de conferencias multimedia que permite realizar reuniones remotas. La solución integra conferencias de voz, vídeo y Web con capacidades de configuración y control.

El primero de los problemas corregidos reside en un error de validación de entradas que podría permitir a un atacante no autenticado realizar ataques de inyección SQL y manipular la base de datos de MeetingPlace.

Un segundo problema está provocado por un error en la validación de acceso en la interfaz interna, lo que podría permitir que un atacante no autenticado pueda crear cuentas de usuario o administrador de MeetingPlace.

Otro problema se desde a un error en el protocolo de autenticación de MeetingTime, lo que podría permitir a los atacantes acceder a información sensible en la base de datos de usuarios lo que incluiría nombres de usuarios y contraseñas.

Por último, un error en el protocolo de autenticación de MeetingTime, podría permitir a un atacante elevar sus privilegios de usuario normal a administrador.

Cisco ha publicado actualizaciones (MR5, 6.0.639.3 y 7.0(2.3) hotfix 5F disponibles para descarga desde:
tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278785523

La tabla de versiones afectadas y actualizaciones se encuentra disponible en el aviso de Cisco:
http://www.cisco.com/warp/public/707/cisco-sa-20100127-mp.shtml
 Fuente

saludos

ms, 30-1-2010