Confirmadas múltiples vulnerabilidades en productos Cisco
TelePresence System MXP Series, Cisco TelePresence TC y TE Software, que
podrían provocar reinicio del sistema, ejecución arbitraria de comandos u
obtención de privilegios de acceso. Nivel de Importancia: 4 - Alta
Recursos afectados
Productos afectados por vulnerabilidades de Cisco TelePresence System MXP Series (solo versiones anteriores a F9.3.1)
1.
Cisco
TelePresence MX Series
2.
Cisco
TelePresence System EX Series
3.
Cisco
TelePresence Integrator C Series
4.
Cisco
TelePresence Profiles Series
5.
Cisco
TelePresence Quick Set Series
6. Cisco
TelePresence System T Series
7. Cisco
TelePresence VX Clinical Assistant
Productos afectados por las vulnerabilidades de Cisco TelePresence TC y TE Software:
1. Cisco
TelePresence System 1700 MXP
2. Cisco
TelePresence System 1000 MXP
3. Cisco
TelePresence System Edge 75 MXP
4. Cisco
TelePresence System Edge 85 MXP
5. Cisco
TelePresence System Edge 95 MXP
6. Cisco
TelePresence System Codec 3000 MXP
7. Cisco
TelePresence System Codec 6000 MXP
8. Tandberg
550 MXP
9. Tandberg
770 MXP
10.
Tandberg 880 MXP
11.
Tandberg 990 MXP
12.
Tandberg
2000 MXP
Detalles e
Impacto de las vulnerabilidades
Las vulnerabilidades reportadas en Cisco TelePresence TC y TE Software son:
- Seis
vulnerabilidades de denegación de servicio en SIP (Session Initiation
Protocol) (CVE-2014-2162, CVE-2014-2163, CVE-2014-2164, CVE-2014-2165,
CVE-2014-2166 y CVE-2014-2167).
- Vulnerabilidad
de DNS Buffer Overflow (CVE-2014-2168).
- Error
en la validación de los datos de entrada (CVE-2014-2169).
- Vulnerabilidad
de inyección de de comandos vía tshell (tcsh) (CVE-2014-2170).
- Vulnerabilidad
de desbordamiento de pila (CVE-2014-2171).
- Vulnerabilidad
de Buffer Overflow de U-Boot (CVE-2014-2172).
- Vulnerabilidad
de acceso sin autenticación en el puerto serie (CVE-2014-2173).
- Vulnerabilidad
de denegación de servicio en el codec H.225 (CVE-2014-2175).
- Las
vulnerabilidades reportadas en Cisco TelePresence System MXP Series
Software son:
- Tres
vulnerabilidades de denegación de servicio debidas a SIP (CVE-2014-2156,
CVE-2014-2157 y CVE-2014-2158).
- Tres
vulnerabilidades de denegación de servicio debidas en el codec H.225
(CVE-2014-2159, CVE-2014-2160 y CVE-2014-2161).
Recomendación
· Cisco
ha publicado actualizaciones que corrigen las vulnerabilidades, sin embargo se
recomienda que antes de proceder a su actualización se comprueba la
compatibilidad software y hardware de los mismos así como que dispongan de
memoria suficiente.
· Panel
de descarga de Software Cisco http://software.cisco.com/download/navigator.html
Más información
· Multiple Vulnerabilities in Cisco TelePresence System
MXP Series http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140430-mxp
· Multiple Vulnerabilities in Cisco TelePresence TC and
TE Software http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140430-tcte
Fuente: Inteco