Múltiples vulnerabilidades en productos de Cisco

Fecha de publicación: 
06/07/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • Cisco Ultra Services Framework Staging Server 
  • Cisco Ultra Services Framework UAS 
  • Cisco Elastic Services Controller
  • ASR 5000 Series
  • ASR 5500 Series
  • ASR 5700 Series
  • Virtualized Packet Core-Distributed Instance (VPC-DI) Software
  • Virtualized Packet Core-Single Instance (VPC-SI) Software
Descripción: 

Cisco ha publicado 7 avisos de seguridad que afectan a varios productos.

Solución: 

Cisco ha publicado actualizaciones para corregir estos problemas, no obstante recomienda que antes de desplegarlas, los clientes verifiquen la compatibilidad con los entornos en los que serán aplicadas.

Estas actualizaciones pueden descargarse desde: Panel de descarga de Software Cisco

Detalle: 

Cisco a publicado los siguientes avisos de seguridad:

  • Cisco Ultra Services Framework UAS Staging Server (Crítico), vulnerable en ejecución de comandos arbitrarios. Esta vulnerabilidad podría permitir a un atacante remoto no autenticado ejecutar comandos shell arbitrarios como usuario root de Linux.
  • Cisco Ultra Services Framework UAS (Crítico), vulnerable en acceso no autenticado. Esta vulnerabilidad podría permitir a un atacante remoto no autenticado obtener acceso no autorizado a otro dispositivo.
  • Cisco Elastic Services Controller (Crítico), vulnerable en acceso no autenticado. Esta vulnerabilidad podría permitir a un atacante remoto no autenticado tener acceso completo al sistema afectado.
  • Cisco Ultra Services Framework AutoVNF (Alto), vulnerable en revelación de información de credenciales en Log File User. Esta vulnerabilidad podría permitir a un atacante remoto no autenticado acceder a las credenciales de administrador del controlador Cisco Elastic Services (ESC) y  Cisco OpenStack del sistema afectado.
  • Cisco Ultra Services Framework AutoVNF (Alto), vulnerable en revelación de información de Symbolic Link Handling. Esta vulnerabilidad podría permitir a un atacante remoto no autenticado leer archivos confidenciales o ejecutar código malicioso en el sistema afectado.
  • Cisco Elastic Services Controller (Alto), vulnerable en ejecución de comandos arbitrarios. Esta vulnerabilidad podría permitir a un atacante remoto no autenticado elevar los privilegios de root y ejecutar comandos potencialmente dañinos en el servidor.
  • Cisco StarOS CLI (Alto), vulnerable en inyección de comandos. Esta vulnerabilidad podría permitir a un atacante local autenticado, corromper el StarOS CLI del sistema afectado y ejecutar comandos shell arbitrarios como usuario root de Linux.