Avisos 10 de September, 2013

Actualitzacions de productes Cisco

El fabricant Cisco Systems ha publicat diversos butlletins de seguretat, amb actualitzacions per solucionar vulnerabilitats als seus productes, algunes d'elles considerades com a crítiques.

Impacte
 
Execució de codi arbitrari, fuita d'informació i denegació de servei.
 
Productes afectats
 
cisco-sa-20130904-webex: Cisco WebEx WRF Player i Cisco WebEx ARF Player
cisco-sa-20130828-acs: Cisco Secure Access Control Server (ACS) versions 4.0 a 4.2.1.15
cisco-sa-20130508-cvp: Cisco Unified CVP Software versions anteriors a 9.0.1 ES 11
cisco-sa-20130821-hcm: Cisco Prime Central for HCS Assurance 8.6, Cisco Prime Central for HCS Assurance 9.0, Cisco Prime Central for HCS Assurance 9.1
cisco-sa-20130821-cup:  Totes les versions de Cisco Unified Communications Manager IM i Presence Service prior to 9.1(2) 
cisco-sa-20130821-cucm: Cisco Unified Communications Manager 7.1(x), 8.5(x), 8.6(x), 9.0(x), 9.1(x)
 
Solució
 
Consultar els butlletins de seguretat publicats pel fabricant, i aplicar els pegats públics pels productes afectats.
  
Detall
 
Butlletins de seguretat:
 
cisco-sa-20130904-webex: Múltiples vulnerabilitats de desbordament de buffer als reproductors de Cisco WebEx Recording Format (WRF) i Advanced Recording Format (ARF). L'explotació d'aquestes vulnerabilitats podria permetre a un atacant remot aturar de manera inesperada un reproductor afectat, i en alguns casos, podria permetre-li executar codi arbitrari al sistema d'un usuari objectiu  (CVE-2013-1115, CVE-2013-1116, CVE-2013-1117, CVE-2013-1118, CVE-2013-1119).
cisco-sa-20130828-acs: Vulnerabilitat en el mòdul d'autenticació EAP-FAST de Cisco Secure Access Control Server (ACS) versions 4.0 a 4.2.1.15, que podria permetre a un atacant remot no autenticat executar codi arbitrari al servidor Cisco Secure ACS i prendre'n el control complet. Aquesta vulnerabilitat només està present quan Cisco Secure ACS està configurat com un servidor RADIUS (CVE-2013-3466).
cisco-sa-20130508-cvp (actualització del butlletí del 8 de maig): Múltiples vulnerabilitats a Cisco Customer Voice Portal Software (Unified CVP), que podrien permetre a un atacant no autenticat veure fitxers arbitraris del sistema, causar la no acceptació de noves trucades i executar aplicacions no autoritzades proporcionades per l'usuari, entre d'altres accions (CVE-2013-1220, CVE-2013-1221, CVE-2013-1222, CVE-2013-1223, CVE-2013-1224, CVE-2013-1225).
cisco-sa-20130821-hcm: Múltiples vulnerabilitats a Cisco Prime Central for Hosted Collaboration Solution (HCS) Assurance que podrien permetre a un atacant remot no autenticat causar una condició de denegació de servei (DoS). L'explotació d'aquestes vulnerabilitats podria provocar la interrupció de la monitorització dels serveis de veu i l'exhauriment dels recursos del sistema (CVE-2013-3390, CVE-2013-3389, CVE-2013-3388).
cisco-sa-20130821-cup: Vulnerabilitat a Cisco Unified Communications Manager IM i Presence Service, que podria permetre a un atacant remot no autenticat causar una condició de denegació de servei (DoS). L'explotació d'aquesta vulnerabilitat podria provocar una interrupció dels serveis de presència (CVE-2013-3453).
cisco-sa-20130821-cucm: Múltiples vulnerabilitats a Cisco Unified Communications Manager (Unified CM) que podrien permetre a un atacant remot no autenticat modificar dades, executar comandes arbitràries o causar una condició de denegació de servei (DoS) (CVE-2013-3459, CVE-2013-3460, CVE-2013-3461).
  
Referències
 
Multiple Vulnerabilities in the Cisco WebEx Recording Format and Advanced Recording Format Players
Cisco Secure Access Control Server Remote Command Execution Vulnerability
Multiple Vulnerabilities in Cisco Unified Customer Voice Portal Software (update)
Cisco Prime Central for Hosted Collaboration Solution Assurance Denial of Service Vulnerabilities
Cisco Unified Communications Manager IM and Presence Service Denial of Service Vulnerability
Multiple Vulnerabilities in Cisco Unified Communications Manager
Publicat a: Avisos