Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades de productos Cisco

Múltiples vulnerabilidades de productos Cisco

Fecha de publicación: 
25/10/2013
Importancia: 
5 - Crítica
Recursos afectados: 

Cisco Identity Services Engine
Cisco Business Edition 3000
Cisco Identity Services Engine (ISE)
Cisco Media Experience Engine (MXE) 3500 Series
Cisco Unified SIP Proxy (CUSP)
Cisco IOS XR Software Route Processor

Descripción: 

Se han detectado vulnerabilidades en diversos productos Cisco, entre los que destacan Cisco Identity Services Engine y Cisco IOS XR Software Route Processor.

Solución: 

Cisco ha publicado actualizaciones para corregir estos problemas, no obstante recomienda que antes de desplegarlas, los clientes verifiquen la compatibilidad con los entornos en los que serán aplicadas

Para la vulnerabilidad que afecta a productos con el componente Apache Struts 2, Cisco ha publicado también actualizaciones de software que solucionan estas vulnerabilidades, a excepción de Cisco Business Edition 3000. Los usuarios de este producto deben ponerse en contacto con su representante de Cisco para evaluar las opciones disponibles.

Estas actualizaciones pueden descargarse desde: Panel de descarga de Software Cisco

Detalle: 

Una vulnerabilidad en Cisco ISE permitiría la ejecución arbitraria de comandos a un atacante remoto sin autenticar.

En Cisco ISE Support Information se podría también realizar una evasión del sistema de autenticación, permitiendo a un atacante remoto no autenticado obtener información sensible como las credenciales administrativas.

Una incorrecta implementación del componente Apache Struts 2 es la responsable de múltiples vulnerabilidades en diversos productos Cisco, afectados por una vulnerabilidad de ejecución remota de comandos.

Se ha detectado también una vulnerabilidad en el manejo de paquetes fragmentados en Cisco IOS XR Software Route Processor, dando lugar a una denegación de servicio, la cual provocaría que el procesador de la ruta sea incapaz de transmitir paquetes. Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad.