Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidades críticas en productos Cisco

Vulnerabilidades críticas en productos Cisco

Fecha de publicación: 
22/07/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Los productos afectados por la vulnerabilidad en el compilador Objective Systems ASN1C son:

  • Cisco ASR 5000 con StarOS versiones 17.x, 18.x, 19.x, y 20.x
  • Sistemas Cisco Virtualized Packet Core versiones V18.x, V19.x, y V20.x

Los productos afectados por  vulnerabilidades en la validación de entrada son:

  • Cisco UCS Performance Manager versiones 2.0.0
Descripción: 

Vulnerabilidades críticas que afectan a productos  Cisco ASR 500, Cisco Virtualized Packet Core y Cisco Unified Computing System (UCS) permitirían a un atacante remoto ejecutar código o provocar denegación de servicio.

Solución: 

Cisco ha publicado actualizaciones que corrigen el problema para Cisco UCS y prepara actualizaciones futuras para mitigar la vulnerabilidad en compilador Objective Systems ASN1C.

Usuarios con licencia pueden obtener las actualizaciones disponibles según el producto afectado en la siguiente ubicación Cisco Product Security Incident Response Team (PSIRT)

Detalle: 

La vulnerabilidad en el compilador Objective Systems ASN1C, relacionada con la generación de código inseguro al crear funciones ASN.1 y que se incluye en productos Cisco ASR 500 y Cisco Virtualized Packet Core permitiría a un atacante remoto provocar denegación de servicio o ejecutar código  enviando un mensaje Abstract Syntax Notation One (ASN.1) manipulado a una función afectada.

Por otro lado, una vulnerabilidad en el framework web de Cisco Unified Computing System (UCS) Performance Manager relacionada con una validación incorrecta de parámetros HTTP permitiría a un atacante remoto no autenticado, ejecutar comandos con privilegios de root a través de peticiones HTTP GET manipuladas.