Se anuncian vulnerabilidades en diversos productos Cisco

Cisco ha publicado tres avisos de seguridad para informar sobre vulnerabilidades de denegación de servicio remota en dispositivos con Cisco IOS y Cisco IOS XE, de cambio de contraseña sin autorización en Unified MeetingPlace y en el control de acceso en Application Policy Infrastructure Controllers y siwtches Nexus serie 9000.

El primero de los problemas, con CVE-2015-0681, reside en un tratamiento inadecuado de la memoria al manejar peticiones TFTP, lo que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio en dispositivos Cisco IOS y Cisco IOS XE. Son vulnerables los dispositivos con el servidor TFTP activo.

El segundo aviso de seguridad se refiere a una vulnerabilidad (con CVE-2015-4235) en el administrador de configuraciones cluster de los Cisco Application Policy Infrastructure Controller (APIC) y de los switches Cisco Nexus Serie 9000 ACI Mode, que podría permitir a un atacante remoto sin autenticar acceder como usuario roor.

Esta vulnerabilidad afecta a sistemas Application Policy Infrastructure Controllers (APIC) con versiones de software anteriores a 1.1(1j), 1.0(3o) y 1.0(4o) y a los switches anteriores con versiones de software a 11.1(1j) y 11.0(4o).

Por último, con CVE-2015-4262, una vulnerabilidad en la funcionalidad de cambio de contraseña en la aplicación de conferencia web de Cisco Unified MeetingPlace podría permitir a un atacante remoto sin autenticar cambiar la contraseña de cualquier otro usuario.

Este problema reside en que no se requiere a los usuarios introducir la contraseña anterior durante el procedimiento de cambio de contraseña y a que no se valida el ID de sesión en la petición http. Afecta a todas las versiones de Cisco Unified MeetingPlace Web Conferencing anteriores a 8.6.

Cisco ha publicado actualizaciones para corregir estas vulnerabilidades. Se puede acceder desde aquí.

 

Fuente: http://muyseguridad.net/2015/

Fecha de consulta: 27 Julio 2015