CISCO TELEPRESENCE. Descubiertas múltiples vulnerabilidades en

Cisco ha identificado varias vulnerabilidades en productos Cisco TelePresence, que pueden permitir la evasión de los mecanismos de autenticación, denegación de servicio y ejecución de comandos remotos, catalogados de Importancia: 4 - Alta

Recursos afectados

Las vulnerabilidades de sorteo de autenticación y denegación de servicio en Cisco TelePresence TC y TE afectan a los siguientes sistemas:

1. Cisco TelePresence MX Series
2. Cisco TelePresence System EX Series
3. Cisco TelePresence Integrator C Series
4. Cisco TelePresence Profiles Series
5. Cisco TelePresence Quick Set Series
6. Cisco TelePresence System T Series
7. Cisco TelePresence VX Clinical Assistant

La vulnerabilidad de inyección de comandos afecta a los siguientes sistemas:

1. Cisco TelePresence Advanced Media Gateway Series
2. Cisco TelePresence IP Gateway Series
3. Cisco TelePresence IP VCR Series
4. Cisco TelePresence ISDN Gateway
5. Cisco TelePresence MCU 4200 Series
6. Cisco TelePresence MCU 4500 Series
7. Cisco TelePresence MCU 5300 Series
8. Cisco TelePresence MCU MSE 8420
9. Cisco TelePresence MCU MSE 8510
10. Cisco TelePresence Serial Gateway Series
11. Cisco TelePresence Server 7010
12. Cisco TelePresence Server MSE 8710
13. Cisco TelePresence Server on Multiparty Media 310
14. Cisco TelePresence Server on Multiparty Media 320
15. Cisco TelePresence Server on Virtual Machine

Detalle e Impacto de las vulnerabilidades detectadas

Se ha detectado y corregido una vulnerabilidad que permite la evasión de mecanismos de autenticación en Cisco TelePresence TC and TE Software, lo cual se puede utilizar para acceder al sistema con privilegios de root.

También se ha detectado y corregido una vulnerabilidad en Cisco TelePresence TC and TE Software que puede utilizarse para provocar una denegación de servicio.

• Se ha reservado el identificador CVE-2015-0722 para ambas vulnerabilidades.

Cisco ha detectado y corregido también una vulnerabilidad en productos Cisco TelePresence que permite la inyección de comandos arbitrarios de forma remota.

• Se ha reservado el identificador CVE-2015-0713.

Recomendación

• Cisco ha publicado actualizaciones gratuitas que resuelven las vulnerabilidades detectadas. Se recomienda consultar con los proveedores del servicio de mantenimiento para obtener información detallada sobre cómo aplicarlas.

Más información

• Command Injection Vulnerability in Multiple Cisco TelePresence Products  http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150513-tp
• Multiple Vulnerabilities in Cisco TelePresence TC and TE Software http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150513-tc

Fuente: INCIBE