Actualizaciones para múltiples dispositivos Cisco

Publicado el 18 septiembre 2016 ¬ 11:17 amh.mscComentarios desactivados en Actualizaciones para múltiples dispositivos Cisco

Actualizaciones para múltiples dispositivos Cisco

Cisco ha publicado nueve boletines de seguridad para solucionar otras
tantas vulnerabilidades en múltiples productos que podrían permitir a
atacantes provocar condiciones de denegación de servicio, ejecutar
código arbitrario o acceder al dispositivo sin autorización.

Los productos afectados son Cisco Web Security Appliance, Cisco WebEx
Meetings Server, Cisco Unified Computing System, Cisco Fog Director for
IOx, Cisco IOS XR para NCS6000 Series, Cisco IOS and IOS XE y Cisco
Carrier Routing System.

Cisco WebEx Meetings Server

Los problemas más graves afectan a Cisco WebEx Meetings Server. Por una
parte una vulnerabilidad crítica, con CVE-2016-1482, por un filtrado
inadecuado de los datos suministrados por el usuario que podría permitir
a un atacante remoto sin autenticar evitar las restricciones de
seguridad de un dispositivo en una DMZ e inyectar comandos en el sistema
afectado. El atacante podría ejecutar comandos arbitrarios en el
dispositivo con privilegios elevados.

Por otra parte, un segundo problema reside en una validación inadecuada
de las cuentas de usuario por determinados servicios que podría permitir
a un atacante remoto sin autenticar provocar condiciones de denegación
de servicio.

Ambas vulnerabilidades se han solucionado en Cisco WebEx Meetings Server
versión 2.7.

Cisco IOS e IOS XE

Otras dos vulnerabilidades afectan al software Cisco IOS e IOS XE. Un
problema, con CVE-2016-6403, en la aplicación Data in Motion (DMo) del
software Cisco IOS e IOS XE con la función IOx activa podría permitir a
un atacante remoto sin autenticar provocar condiciones de denegación de
servicio en el proceso DMo.

Por otra parte, una validación inadecuada de algunos parámetros pasados
al servidor web podría permitir a un atacante remoto sin autenticar
construir ataques de cross-site scripting (XSS) contra usuarios de la
interfaz web de los sistemas afectados.

Cisco ha publicado actualizaciones para evitar estos problemas.
Cisco Fog Director para IOx

Una vulnerabilidad debido a una validación insuficiente de las entradas
del usuario en Cisco Fog Director para IOx podría permitir a un atacante
remoto sin autenticar escribir o sobrescribir archivos arbitrarios en
los sistemas afectados.

Cisco ha publicado actualizaciones para evitar este problema.

Cisco IOS XR para Cisco Network Convergence System (NCS) 6000

Una vulnerabilidad en el tratamiento de OSPFv3 del software Cisco IOS XR
en dispositivos Cisco Network Convergence System (NCS) 6000 Series
podría permitir a un atacante remoto sin autenticar provocar un reinicio
del proceso OSPFv3 que resultaría en condiciones de denegación de
servicio en los dispositivos afectados.

Cisco ha publicado actualizaciones para evitar este problema.
Cisco Unified Computing System

Una vulnerabilidad en la interfaz de línea de comandos del administrador
de Cisco Unified Computing System (UCS) y de UCS 6200 Series Fabric
Interconnects podría permitir a un atacante local autenticado acceder al
sistema operativo de los dispositivos con privilegios de usuario root.

Cisco no ofrece actualizaciones para esta vulnerabilidad.
Cisco Carrier Routing System (CRS)

Una vulnerabilidad en el tratamiento de paquetes IPv6 sobre MLPS de
Cisco IOS XR en plataformas Cisco Carrier Routing System (CRS) podría
permitir a un atacante sin autenticar cercano al sistema provocar el
reinicio de la tarjeta de la línea afectada.

Cisco no ofrece actualizaciones para esta vulnerabilidad.
Cisco Web Security Appliance

Una vulnerabilidad en la petición de reenvío http con Cisco AsyncOS en
los Cisco Web Security Appliance (WSA) podría permitir a un atacante
remote sin autenticar provocar condiciones de denegación de servicio por
una saturación de enlaces. Un atacante podría aprovechar el problema
mediante el envío de múltiples peticiones http específicamente
construidas al dispositivo afectado.

Cisco no ofrece actualizaciones para esta vulnerabilidad.
Ver información original al respecto en Fuente:

http://unaaldia.hispasec.com/2016/09/actualizaciones-para-multiples_16.html

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies