Avisos 19 de January, 2012

Actualitzacions de productes Cisco

El fabricant d'equips de xarxa i comunicació Cisco, ha publicat dos avisos de seguretat amb la finalitat de solucionar vulnerabilitats en els seus equips i els components d'aplicació associats.
 



Els problemes de seguretat afecten a un dispositiu tipus videotelèfon i a la plataforma web de gestió de continguts utilitzada per a diversos productes de distribució de continguts del fabricant (cartells digitals, webcasts, IPTV)

Recursos afectats:


• Cisco IP Video Phone E20 actualitzats amb el programari TE 4.1
 
• Cisco Digital Media Manager versions 5.2.3, 5.2.2, 5.2.1 i anteriors.
 

Impacte: Compromís total de la màquina, escalada de privilegis.

Solució:


• Consulteu els butlletins de seguretat publicats, i aplicar els pegats pels productes corresponents. Les versions no vulnerables són:
 
• Cisco IP Video Phone E20 TE 4.1.1
 
• Cisco Digital Media Manager 5.3 i 5.2.2.1
 

Detall:

Avisos publicats:
 


• cisco-sa-20120118-te: el videotelèfon Cisco IP Video Phone E20 tindria un compte d'administració activada i amb contrasenya per defecte, introduïda durant el procés d'actualització a la versió TE 4.1.0. Un atacant remot podria accedir a aquest compte mitjançant SSH, amb contrasenya per defecte, i prendre el control de la màquina afectada.
 



• cisco-sa-20120118-dmm: vulnerabilitat en Cisco Digital Media Manager (DMM), una plataforma centralitzada basada en web utilitzada per gestionar xarxes de distribució de contingut de Cisco (Cisco Digital Signs, Cisco Cast, Cisco Show and Share).
 



La debilitat consisteix en una validació incorrecta de l'accés a URL sense referència, que podria permetre a un atacant autenticat però sense privilegis, accedir a URLs d'administració i escalar els seus privilegis. L'explotació d'aquesta vulnerabilitat es portaria a terme enviant una URL mitjançant el del port de gestió TCP 8443.
 



Encara que la vulnerabilitat no afecta directament a Cisco Show and Share, aquest producte utilitza Cisco DMM per a l'autenticació, de manera que un atacant que comprometi aquest últim podria obtenir accés complet.
 






Referències
 

Cisco IP Video Phone E20 Default Root Account
 
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120118-te
 
Cisco Digital Media Manager Privilege Escalation Vulnerability
 
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120118-dmm

Publicat a: Avisos