Avisos 07 de November, 2013

Vulnerabilitats a productes Cisco

El fabricant Cisco Systems ha publicat dos avisos de seguretat sobre una vulnerabilitat de denegació de servei identificada a Cisco IOS Software i una altra d'execució remota de codi identificada als servidors Cisco WAAS Mobile.

Impacte
 
Denegació de servei, execució remota de codi.
 
Productes afectats
 
Cisco IOS Software, versions: 
      o 15.1(4)GC i 15.1(4)GC1
      o 15.1(4)M4, 15.1(4)M5 i 15.1(4)M6
Servidors Cisco WAAS Mobile, versions anteriors a la 3.5.5
 
Solució
 
Consultar l'avís de seguretat publicat pel fabricant, i aplicar el pegat públic pel producte afectat (veure referències).
 
Detall
 
CVE-2013-5553: Vulnerabilitat a la implementació del protocol SIP (Session Initiation Protocol) de Cisco IOS Software que podria permetre a un atacant remot no autenticat recarregar un dispositiu afectat o provocar fuites de memòria que causarien inestabilitat al sistema. 
CVE-2013-5554: Vulnerabilitat a Cisco Wide Area Application Services (WAAS) que podria permetre a un atacant rremot no autenticat executar codi arbitrari al servidor Cisco WAAS Mobile amb els privilegis del servidor web IIS (Microsoft Internet Information Services). 
 
Referències
 
Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerability
Cisco WAAS Mobile Remote Code Execution Vulnerability
Publicat a: Avisos