3 de agosto de 2016

CISCO. Vulnerabilidades críticas en alguno de sus productos

Vulnerabilidades críticas que afectan a productos  Cisco ASR 500, Cisco Virtualized Packet Core y Cisco Unified Computing System (UCS) permitirían a un atacante remoto ejecutar código o provocar denegación de servicio, catalogadas de Importancia: 5- Crítica
Recursos afectados:
Los productos afectados por la vulnerabilidad en el compilador Objective Systems ASN1C son:
  • Cisco ASR 5000 con StarOS versiones 17.x, 18.x, 19.x, y 20.x
  • Sistemas Cisco Virtualized Packet Core versiones V18.x, V19.x, y V20.x
Los productos afectados por  vulnerabilidades en la validación de entrada son:
  • Cisco UCS Performance Manager versiones 2.0.0
Detalle e impacto de la vulnerabilidad
  • La vulnerabilidad en el compilador Objective Systems ASN1C, relacionada con la generación de código inseguro al crear funciones ASN.1 y que se incluye en productos Cisco ASR 500 y Cisco Virtualized Packet Core permitiría a un atacante remoto provocar denegación de servicio o ejecutar código  enviando un mensaje Abstract Syntax Notation One (ASN.1) manipulado a una función afectada.
  • Por otro lado, una vulnerabilidad en el framework web de Cisco Unified Computing System (UCS) Performance Manager relacionada con una validación incorrecta de parámetros HTTP permitiría a un atacante remoto no autenticado, ejecutar comandos con privilegios de root a través de peticiones HTTP GET manipuladas.
Recomendación
  • Cisco ha publicado actualizaciones que corrigen el problema para Cisco UCS y prepara actualizaciones futuras para mitigar la vulnerabilidad en compilador Objective Systems ASN1C.
  • Usuarios con licencia pueden obtener las actualizaciones disponibles según el producto afectado en la siguiente ubicación Cisco Product Security Incident Response Team (PSIRT)
Más información
Fuente: INCIBE