Cisco ha publicado cinco boletines de seguridad que solventan diversas vulnerabilidades, entre las que se encuentran dos escaladas de directorios, dos ejecuciones de código y una denegación de servicio.
Los productos afectados son los siguientes:
* Cisco Unified Contact Center Express: Permitiría a un usuario remoto no autenticado obtener ficheros a través de una URL especialmente manipulada mediante una escalada de directorios. (CVE-2011-3315)
* Cisco Security Agent: El fallo, que permitiría una ejecución de código arbitrario, es debido a dos vulnerabilidades de software externo a Cisco, presentes en la librería ‘Oracle Outside In’ utilizada por Cisco Security Agent. (CVE-2011-0794 y CVE-2011-0808)
* Cisco Video Surveillance IP Cameras: Una denegación de servicio causada por el envío de paquetes RTSP TCP especialmente manipulados, causaría que las cámaras dejasen de emitir las imágenes grabadas y procediesen a reiniciarse. (CVE-2011-3318)
* Cisco WebEx Player: Varios desbordamientos de memoria intermedia en el
reproductor Cisco WebEx Recording Format (WRF), podrían permitir que un atacante remoto ejecutase código arbitrario con los permisos del usuario afectado. (CVE-2011-3319 y CVE-2011-4004)
reproductor Cisco WebEx Recording Format (WRF), podrían permitir que un atacante remoto ejecutase código arbitrario con los permisos del usuario afectado. (CVE-2011-3319 y CVE-2011-4004)
* Cisco Unified Communications Manager: El componente de procesamiento de llamadas IP de Cisto también se encuentra afectado por un fallo que permitiría la revelación, a través de una escalada de directorios, del contenido de archivos que en teoría no deberían ser accesibles desde el exterior del sistema. (CVE-2011-3315)
Junto con los boletines de seguridad, Cisco ha publicado las correspondientes actualizaciones que solventan todas las vulnerabilidades comentadas.
Fuente: hispasec.com
Más información:
Cisco Unified Contact Center Express Directory Traversal Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-uccx
Cisco Security Agent Remote Code Execution Vulnerabilities
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-csa
Denial of Service Vulnerability in Cisco Video Surveillance IP Cameras
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-camera
Buffer Overflow Vulnerabilities in the Cisco WebEx Player
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-webex
Cisco Unified Communications Manager Directory Traversal Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-cucm
Cisco Unified Contact Center Express Directory Traversal Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-uccx
Cisco Security Agent Remote Code Execution Vulnerabilities
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-csa
Denial of Service Vulnerability in Cisco Video Surveillance IP Cameras
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-camera
Buffer Overflow Vulnerabilities in the Cisco WebEx Player
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-webex
Cisco Unified Communications Manager Directory Traversal Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-cucm