Cisco ha publicado 23 boletines de seguridad para
solucionar otras tantas vulnerabilidades (tres de gravedad alta y el resto de
importancia media) en múltiples productos que podrían permitir provocar
denegaciones de servicio, cross-site scripting, inyección SQL, ejecutar código
arbitrario, acceder al dispositivo sin autorización entre otros ataques.
Los productos afectados son
Cisco Virtualized Packet Core-Distributed
Instance
Cisco WebEx Network Recording Player
Cisco Prime Infrastructure y Evolved
Programmable Network Manager
Cisco Wide Area Application Services
Cisco Unified Contact Center Express
Cisco Prime Collaboration Provisioning
Cisco Identity Services Engine
Cisco IOS XR Software
Cisco Firepower Management Center
Cisco SocialMiner
Cisco StarOS for ASR 5000 Series Routers
El primer problema considerado de gravedad alta afecta al
software Cisco Virtualized Packet Core−Distributed Instance (VPC−DI) en el
tratamiento de entrada de paquetes UDP. Podría permitir a un atacante remoto
sin autenticar provocar condiciones de denegación de servicio (CVE-2017-6678).
También de gravedad alta, múltiples desbordamientos de
búfer en Cisco WebEx Network Recording Player para archivos Advanced Recording
Format (ARF). Mediante un archivo ARF malicioso un atacante podría conseguir la
ejecución remota de código arbitrario (CVE-2017-6669).
La tercera vulnerabilidad de gravedad alta, con
CVE-2017-6662, afecta a la interfaz web de Cisco Prime Infrastructure (PI) y
Evolved Programmable Network Manager (EPNM) por el tratamiento de Entidades
Externas XML (XXE). Podría permitir a un atacante remoto autenticado leer y
escribir el acceso a la información almacenada en el sistema afectado, así como
lograr la ejecución de código.
Otros problemas de gravedad media son:
Denegación de servicio en Cisco Wide Area
Application Services
Autenticación sin cifrar en Cisco Unified
Contact Center Express
Cross-Site Scriptings en Cisco Prime
Infrastructure Web Framework Code
Inyección SQL en Cisco Prime Infrastructure y
Evolved Programmable Network Manager
Obtención de información de logs en Cisco
Prime Collaboration Provisioning Tool
Obtención de información sensible en Cisco
Prime Collaboration Provisioning Tool
Descarga de archives arbitrarios en Cisco
Prime Collaboration Provisioning Tool
Falsificación de session en Cisco Prime
Collaboration Provisioning Tool
Cross-Site Scripting en Cisco Identity
Services Engine
Elevación de privilegios en Cisco IOS XR
Inyección de commandos en Cisco IOS XR
Cross-Site Scripting en Cisco Firepower Management
Center
Cross-Site Scripting almacenado en Cisco
Firepower Management Center
Cross-Site Scripting en Cisco SocialMiner
Denegación de servicio en routers Cisco
StarOS for ASR 5000
Cisco ha publicado actualizaciones para las
vulnerabilidades consideradas de gravedad alta. Se recomienda consultar las
alertas publicadas para obtener información sobre disponibilidad de parches y
actualizaciones.
Más información:
Cisco
Security Advisories and Alerts https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=50#~Vulnerabilities
Cisco
Virtualized Packet Core-Distributed Instance Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170621-vpc
Cisco
WebEx Network Recording Player Multiple Buffer Overflow Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170621-wnrp
Cisco
Prime Infrastructure and Evolved Programmable Network Manager XML Injection
Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170621-piepnm1
Fuente: Hispasec.com