1 de abril de 2019

CISCO. Múltiples vulnerabilidades en productos de la firma.

Cisco ha publicado 23 vulnerabilidades, siendo 17 de ellas de severidad alta y 6 de criticidad media, catalogadas de Importancia: 4 - Alta
Recursos afectados:
1)   Cisco IOS o IOS XE Software:
a)   Con la función web server habilitada.
b)   Con Cisco Plug-and-Play (PnP) habilitado e inicializado.
c)    Configurado para operaciones NBAR.
d)   Configurado con NAT64 (Stateless o Stateful), Mapping of Address y Port Using Translation (MAP-T), o Mapping of Address y Port Using Encapsulation (MAP-E).
e)   Configurado con una interfaz ISDN (RDSI).
f)    Configurado para operaciones IP SLA.
g)   Configurado para usar la función Cisco ETA.
2)   Switches Cisco Catalyst 4500/4500X Series.
3)   Sierra Wireless WWAN cellular interface con:
a)   Cisco IOS Software Release 15.8(3)M.
b)   Cisco IOS XE Software Release 16.10.1.
4)   Cisco ASR 900 RSP3 que ejecutan el software Cisco IOS XE y están configurados para OSPFv2 routing y OSPF Message Digest 5 (MD5) cryptographic authentication.
Detalle de vulnerabilidades
Las vulnerabilidades de severidad alta son las siguientes, con sus correspondientes identificadores asignados:
·        Divulgación de información: CVE-2019-1742.
·        Inyección de comandos: CVE-2019-1745, CVE-2019-1756 y CVE-2019-1755.
·        Denegación de servicio: CVE-2019-1747, CVE-2019-1749, CVE-2019-1738, CVE-2019-1739, CVE-2019-1740, CVE-2019-1751, CVE-2019-1752, CVE-2019-1737, CVE-2019-1750, CVE-2019-1741 y CVE-2019-1746.
·        Validación de certificado insuficiente: CVE-2019-1748.
·        Escalada de privilegios: CVE-2019-1754 y CVE-2019-1753.
·        Subida de ficheros arbitrarios: CVE-2019-1743.
Para las vulnerabilidades de severidad media, se han asignado los siguientes identificadores: CVE-2019-1760, CVE-2019-1758, CVE-2019-1757, CVE-2019-1762, CVE-2019-1761 y CVE-2019-1759
Recomendación
  • Cisco ha publicado diversas actualizaciones, en función del producto afectado, que solucionan las vulnerabilidades. Puede acceder a las actualizaciones desde el panel de descargas de software de Cisco.
Más información
Fuente: INCIBE