martes, 1 de noviembre de 2011

Cisco publica cinco boletines de seguridad

Cisco ha publicado cinco boletines de seguridad que solventan diversas vulnerabilidades, entre las que se encuentran dos escaladas de directorios, dos ejecuciones de código y una denegación de servicio.
Los productos afectados son los siguientes:

* Cisco Unified Contact Center Express: Permitiría a un usuario remoto no autenticado obtener ficheros a través de una URL especialmente manipulada mediante una escalada de directorios. (CVE-2011-3315)

* Cisco Security Agent: El fallo, que permitiría una ejecución de código arbitrario, es debido a dos vulnerabilidades de software externo a Cisco, presentes en la librería 'Oracle Outside In' utilizada por Cisco Security Agent. (CVE-2011-0794 y CVE-2011-0808)

* Cisco Video Surveillance IP Cameras: Una denegación de servicio causada por el envío de paquetes RTSP TCP especialmente manipulados, causaría que las cámaras dejasen de emitir las imágenes grabadas y procediesen a reiniciarse. (CVE-2011-3318)

* Cisco WebEx Player: Varios desbordamientos de memoria intermedia en el reproductor Cisco WebEx Recording Format (WRF), podrían permitir que un atacante remoto ejecutase código arbitrario con los permisos del usuario afectado. (CVE-2011-3319 y CVE-2011-4004)

* Cisco Unified Communications Manager: El componente de procesamiento de llamadas IP de Cisto también se encuentra afectado por un fallo que permitiría la revelación, a través de una escalada de directorios, del contenido de archivos que en teoría no deberían ser accesibles desde el exterior del sistema. (CVE-2011-3315)

Junto con los boletines de seguridad, Cisco ha publicado las correspondientes actualizaciones que solventan todas las vulnerabilidades comentadas.


Javier Rascón
jrascon@hispasec.com

Más Información:

Cisco Unified Contact Center Express Directory Traversal Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-uccx

Cisco Security Agent Remote Code Execution Vulnerabilities
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-csa

Denial of Service Vulnerability in Cisco Video Surveillance IP Cameras
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-camera

Buffer Overflow Vulnerabilities in the Cisco WebEx Player
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-webex

Cisco Unified Communications Manager Directory Traversal Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-cucm

Tomado de: http://unaaldia.hispasec.com/2011/10/cisco-publica-cinco-boletines-de.html

No hay comentarios:

Publicar un comentario