Cisco ha lanzado un aviso en el que se hace referencia
a trece vulnerabilidades independientes que afectan a Cisco ASA Software. Estas
vulnerabilidades pueden permitir ataques del tipo de denegación de servicio,
fuga de información o manipulación de datos no autorizada. La vulnerailidad se
ha catalogado de Importancia: 4 - Alta
Recursos afectados
1) Cisco ASA 5500 Series Adaptive
Security Appliances
2)
Cisco ASA 5500-X Series Next-Generation Firewalls
3)
Cisco ASA Services Module for Cisco Catalyst 6500
Series Switches and Cisco 7600 Series Routers
4)
Cisco ASA 1000V Cloud Firewall
5)
Cisco Adaptive Security Virtual Appliance (ASAv)
Detalle e Impacto de las
vulnerabilidades
Los sistemas afectados por la vulnerabilidades de
denegación de servicio son:
1)
Cisco ASA SQL*NET Inspection Engine
2) Cisco ASA VPN
3) Cisco ASA IKEv2
4)
Cisco ASA Health and Performance Monitor
5)
Cisco ASA GPRS Tunneling Protocol Inspection Engine
6)
Cisco ASA SunRPC Inspection Engine
7)
Cisco ASA DNS Inspection Engine
8) Cisco ASA Clientless SSL VPN
Otros vulnerabilidades son:
1) Cisco ASA Clientless SSL VPN
afectado por una vulnerabilidad de fuga de información.
2) Cisco ASA Smart Call Home afectado
por una vulnerabilidad de error de validación de certificados.
3) Cisco ASA VNMC afectado una
vulnerabilidad de error de validación en la entrada de comandos.
4) Cisco ASA Local afectado por una
vulnerabilidad en la inclusión de rutas.
5) Cisco ASA Clientless SSL VPN Portal
afectado por una vulnerabilidad de integridad al usar el framework de
personalización.
6) Cisco ASA VPN afectado por una vulnerabilidad
de inyección de comandos vía el interfaz de tolerancia a fallos (failover
interface).
Recomendación
· Cisco
ha liberado actualizaciones para todos los productos afectados. Para obtener
los parches, póngase en contacto con su servicio técnico o visite la pagina de
descargas de CISCO. http://software.cisco.com/download/navigator.html
Más información
·
Multiple Vulnerabilities in Cisco ASA Software http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa
Fuente: INTECO