28 de octubre de 2011

CISCO LANZA 5 BOLETINES DE SEGURIDAD

Cisco ha lanzado 5 boletines de seguridad  y sus actualizaciones correspondientes sobre diversas vulnerabilidades: dos escaladas de directorios, dos ejecuciones de código y una denegación de servicio.
Productos afectados:
  • Cisco Unified Contact Center Express.- Permite a un usuario remoto no autenticado obtener ficheros a través de una URL especialmente manipulada mediante una escalada de directorios. (CVE-2011-3315)
  • Cisco Security Agent.- Permite una ejecución de código arbitrario, es debido a dos vulnerabilidades de software externo a Cisco, presentes en la librería 'Oracle Outside In' utilizada por Cisco Security Agent. (CVE-2011-0794 y CVE-2011-0808)
  • Cisco Video Surveillance IP Cameras: Denegación de servicio causada por el envío de paquetes RTSP TCP especialmente manipulados, causaría que las cámaras dejasen de emitir las imágenes grabadas y procediesen a reiniciarse. (CVE-2011-3318)
  • Cisco WebEx Player: Desbordamientos de memoria intermedia en el reproductor Cisco WebEx Recording Format (WRF), podrían permitir que un atacante remoto ejecutase código arbitrario con los permisos del usuario afectado. (CVE-2011-3319 y CVE-2011-4004)
  • Cisco Unified Communications Manager: Fallo en el componente de procesamiento de llamadas IP de Cisto que permite la revelación, por medio de escalada de directorios, del contenido de archivos que en teoría no deberían ser accesibles desde el exterior del sistema. (CVE-2011-3315)
Recomendaciones:
Cisco ha publicado las correspondientes actualizaciones que corrigen todas las vulnerabilidades comentadas y que deberían intalarse de manera urgente. 
Fuente: Hispasec