16 de junio de 2019

CISCO. DoS y ejecución remota de código en varios productos de la firma


Cisco ha publicado una vulnerabilidad de denegación de servicio y otra de ejecución arbitraria de código que afectan a varios de sus productos, catalogada de importancia: 4 - Alta
Recursos afectados:
1.   Expressway Series configurado para acceso móvil y remoto con IM&P Service, versiones desde X8.1 hasta X12.5.2
2.   TelePresence VCS configurado para acceso móvil y remoto con IM&P Service, versiones desde X8.1 hasta X12.5.2
3.   Unified Communications Manager IM&P Service, versiones:
a.   10.5(2)
b.   11.5(1)
c.    12.0(1)
4.   Cisco Industrial Network Director, versiones anteriores a 1.6.0
Recomendación
Cisco ha publicado diversas actualizaciones en función del producto afectado, disponibles en su centro de descargas (https://software.cisco.com/download/home )
1.   Expressway Series configurada para acceso móvil y remoto con IM&P Service, actualizar a la versión X12.5.3 o superior.
2.   TelePresence VCS configurada para acceso móvil y remoto con IM&P Service, actualizar a la versión X12.5.3 o superior.
3.   Unified Communications Manager IM&P Service:
a.   para la versión 10.5(2), actualizar a 11.5(1) SU6 o 12.5(1)
b.   para la versión 11.5(1), actualizar a 11.5(1) SU6
c.    para la versión 12.0(1), actualizar a 12.5(1)
4.   Cisco Industrial Network Director, actualizar a la versión 1.6.0 o superior.
Detalle de vulnerabilidades
Un atacante remoto podría enviar una solicitud de autenticación malformada a Extensible Messaging and Presence Protocol (XMPP), pudiendo provocar un reinicio inesperado del servicio de autenticación y causar un condición de denegación de servicio (DoS). Se ha asignado el identificador CVE-2019-1845 para esta vulnerabilidad.
Una validación incorrecta de los archivos cargados en la aplicación podría permitir a un atacante autenticado con privilegios de administrador cargar un archivo arbitrario y ejecutar código. Se ha asignado el identificador CVE-2019-1861 para esta vulnerabilidad.
Más información
Fuente: INCIBE