CISCO TELEPRESENCE. Detectadas múltiples vulnerabilidades

Confirmadas  múltiples vulnerabilidades en productos Cisco TelePresence System MXP Series, Cisco TelePresence TC y TE Software, que podrían provocar reinicio del sistema, ejecución arbitraria de comandos u obtención de privilegios de acceso. Nivel de Importancia: 4 - Alta

Recursos afectados

Productos afectados por vulnerabilidades de Cisco TelePresence System MXP Series (solo versiones anteriores a F9.3.1)

1.   Cisco TelePresence MX Series

2.   Cisco TelePresence System EX Series

3.   Cisco TelePresence Integrator C Series

4.   Cisco TelePresence Profiles Series

5.   Cisco TelePresence Quick Set Series

6.   Cisco TelePresence System T Series

7.   Cisco TelePresence VX Clinical Assistant

Productos afectados por las vulnerabilidades de  Cisco TelePresence TC y TE Software:

1.   Cisco TelePresence System 1700 MXP

2.   Cisco TelePresence System 1000 MXP

3.   Cisco TelePresence System Edge 75 MXP

4.   Cisco TelePresence System Edge 85 MXP

5.   Cisco TelePresence System Edge 95 MXP

6.   Cisco TelePresence System Codec 3000 MXP

7.   Cisco TelePresence System Codec 6000 MXP

8.   Tandberg 550 MXP

9.   Tandberg 770 MXP

10.               Tandberg 880 MXP

11.               Tandberg 990 MXP

12.               Tandberg 2000 MXP

Detalles e Impacto  de las vulnerabilidades

Las vulnerabilidades reportadas en Cisco TelePresence TC y TE Software son:

1. Seis vulnerabilidades de denegación de servicio en SIP (Session Initiation Protocol) (CVE-2014-2162, CVE-2014-2163, CVE-2014-2164, CVE-2014-2165, CVE-2014-2166 y CVE-2014-2167).
2. Vulnerabilidad de DNS Buffer Overflow (CVE-2014-2168).
3. Error en la validación de los datos de entrada (CVE-2014-2169).
4. Vulnerabilidad de inyección de de comandos vía tshell (tcsh) (CVE-2014-2170).
5. Vulnerabilidad de desbordamiento de pila (CVE-2014-2171).
6. Vulnerabilidad de Buffer Overflow de U-Boot (CVE-2014-2172).
7. Vulnerabilidad de acceso sin autenticación en el puerto serie (CVE-2014-2173).
8. Vulnerabilidad de denegación de servicio en el codec H.225 (CVE-2014-2175).
9. Las vulnerabilidades reportadas en Cisco TelePresence System MXP Series Software son:
10. Tres vulnerabilidades de denegación de servicio debidas a SIP (CVE-2014-2156, CVE-2014-2157 y CVE-2014-2158).
11. Tres vulnerabilidades de denegación de servicio debidas en el codec H.225 (CVE-2014-2159, CVE-2014-2160 y CVE-2014-2161).

Recomendación

·     Cisco ha publicado actualizaciones que corrigen las vulnerabilidades, sin embargo se recomienda que antes de proceder a su actualización se comprueba la compatibilidad software y hardware de los mismos así como que dispongan de memoria suficiente.

·      Panel de descarga de Software Cisco  http://software.cisco.com/download/navigator.html

Más información

·      Multiple Vulnerabilities in Cisco TelePresence System MXP Series  http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140430-mxp

·      Multiple Vulnerabilities in Cisco TelePresence TC and TE Software http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140430-tcte

Fuente: Inteco