Cisco ha publicado seis boletines de seguridad para solucionar otras tantas vulnerabilidades en múltiples productos que podrían permitir a atacantes provocar condiciones de denegación de servicio, ejecutar código arbitrario o acceder al dispositivo sin autorización.

Solo uno de los problemas es considerado crítico y afecta a Cisco Meeting Server, mientras que otros problemas de gravedad media afectan a Cisco Wide Area Application Services, Cisco Unified Communications Manager, Cisco Prime Infrastructure, Evolved Programmable Network Manager, Cisco Finesse y Cisco cBR-8 Converged Broadband Router.

Cisco Cisco Meeting Server

El problema más grave, con CVE-2016-6445, afecta al servicio Extensible Messaging and Presence Protocol (XMPP) de Cisco Meeting Server (CMS) y podría permitir a un atacante remoto sin autenticar acceder al sistema como un usuario legítimo.

Se ven afectadas las versiones de Cisco Meeting Server anteriores a la 2.0.6 con XMPP activo. También afecta a Acano Server anteriores a 1.8.18 y anteriores a 1.9.6 con XMPP activo.

Cisco ha publicado las siguientes versiones actualizadas para los sistemas afectados:

  • Acano Server 1.8.18
  • Acano Server 1.9.6
  • Cisco Meeting Server 2.0.6

Las actualizaciones de firmware pueden descargarse desde Software Center en Cisco.com accediendo a Products > Conferencing > Video Conferencing > Multiparty Conferencing > Meeting Server > Meeting Server 1000 > TelePresence Software.

Vulnerabilidades de gravedad media corregidas

  • Una vulnerabilidad (CVE-2016-6437) en la administración de la caché de sesión SSL de los Cisco Wide Area Application Services (WAAS) podría permitir a un atacante remoto sin autenticar provocar una condición de denegación de servicio (DoS) por un elevado consumo del disco duro.
  • Un problema, con CVE-2016-6440, de falsificación de datos en un iframe de una página web afecta a Cisco Unified Communications Manager (CUCM). Por otra parte, existe una vulnerabilidad (con CVE-2016-6443) de inyección SQL en Cisco Prime Infrastructure y en Evolved Programmable Network Manager SQL.
  • También se ha confirmado una vulnerabilidad (con CVE-2016-6438) en el software Cisco IOS XE en routers Cisco cBR-8 Converged Broadband podría permitir a un atacante remote sin autenticar provocar un cambio en la integridad de la configuración en el dispositivo afectado.
  • Por último, una vulnerabilidad de cross-site request forgery (CSRF) contra la interfaz web de Cisco Finesse (CVE-2016-6442). Este es el único problema para el que no se han publicado actualizaciones.

Más información:

Fuente: Hispasec.com

Anuncios