Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidades en múltiples productos Cisco

Vulnerabilidades en múltiples productos Cisco

Fecha de publicación: 
07/04/2016
Importancia: 
5 - Crítica
Recursos afectados: 
  • Whiptail Racerunner
  • Cisco UCS Invicta Scaling System and Appliance
  • Cisco UCS Invicta C3124SA Appliance
  • Cisco TelePresence Server 7010
  • Cisco TelePresence Server Mobility Services Engine (MSE) 8710
  • Cisco TelePresence Server on Multiparty Media 310
  • Cisco TelePresence Server on Multiparty Media 320
  • Cisco TelePresence Server on Multiparty Media 820
  • Cisco TelePresence Server on Virtual Machine (VM)
  • Cisco TelePresence Server on Multiparty Media 310
  • Cisco Prime Infrastructure software versions 1.2 and later
  • Cisco EPNM software version 1.2
Descripción: 

Cisco ha publicado varias actualizaciones que corrigen diferentes vulnerabilidades en algunos de sus productos. Estos fallos permitirían:

  • Escalada de privilegios.
  • Denegación de servicio.
  • Reinicio de servicios.
  • Ejecución de código arbitrario.
Solución: 

Aplicar las actualizaciones correspondientes según el producto afectado, indicadas por el fabricante en la siguiente ubicación Cisco Product Security Incident Response Team (PSIRT)

Detalle: 

Las vulnerabilidades corregidas se detallan a continuación:

  • Escalada de privilegios (crítica): una vulnerabilidad en la implementación del proceso de comunicación del Cisco UCS Invicta Software permitiría a una atacante remoto conectarse al sistema con privilegios de root. Se ha reservado el identificador CVE-2016-1313.
  • Ejecución de código arbitrario (crítica): una vulnerabilidad en la interfaz web de Cisco Prime Infrastructure and Cisco Evolved Programmable Network Manager (EPNM) permitiría a una atacante remoto no autenticado ejecutar código arbitrario en el sistema. Se ha reservado el identificador CVE-2016-1291.
  • Reinicio de dispositivos, servicios y denegación de servicios (alta): una vulnerabilidad en los dispositivos de Cisco TelePresence Server permitirían a una atacante remoto no autenticado provocar un reinicio del dispositivo y provocar una denegación de servicio. Se han reservado los identificadores CVE-2015-6312, CVE-2015-6313 y CVE-2016-1291.
  • Kernel panic (alta): una vulnerabilidad en los dispositivos de Cisco TelePresence Server permitirían a un atacante remoto causar un kernel panic en el dispositivo. Se ha reservado el identificador CVE-2016-1346.