Llegamos a ustedes gracias a:



Noticias

Cisco parcha fallas en muchos productos

De autenticación, denegación de servicio y NTP

[03/02/2016] Esta semana Cisco Systems ha lanzado un nuevo lote de parches de seguridad para las fallas que afectan a una amplia gama de productos, incluyendo una vulnerabilidad crítica en sus firewalls de seguridad de red inalámbricos RV220W.

La vulnerabilidad del RV220W deriva de la insuficiente validación del input de las solicitudes de HTTP enviadas a la interfaz de administración basada en Web del firewall. Esto podría permitir que atacantes remotos no autentificados envíen solicitudes de HTTP con código SQL en sus cabeceras que podrían evitar la autenticación en los dispositivos de destino y dar a los atacantes privilegios administrativos.

Cisco ha parchado esta vulnerabilidad en la versión 1.0.7.2 del firmware para dispositivos RV220W. Entre las soluciones manuales se encuentran la deshabilitación de la funcionalidad de administración remota o la restricción de ésta a direcciones IP específicas.

La compañía también parchó vulnerabilidades de denegación de servicio de severidad alta y media en appliances y módulos WAAS (Wide Area Application Service), switches Small Business 500 Series de Cisco y el switch administrado SG300. También fue parchada una vulnerabilidad de secuencias de comandos entre sitios en la interfaz de administración basada en Web de Cisco Unity Connection.

Por último, la empresa importó parches para 12 vulnerabilidades en el Network Time Protocol daemon (ntpd) que fueron reparadas el 19 de enero por la Network Time Foundation. Estas fallas pueden ser explotadas por los atacantes para modificar el tiempo en los dispositivos o para hacer colapsar el proceso ntpd.

Tener la hora correcta en el sistema es muy importante para varios tipos de aplicaciones, incluyendo para las operaciones sensibles a la seguridad.

Se sospecha que las fallas NTP afectan a más de 70 productos de Cisco utilizados en productos de colaboración y medios sociales, redes y seguridad, enrutamiento y switching, computación y comunicaciones unificadas, streaming y transcodificación, servicios inalámbricos y alojados.

La compañía ha publicado actualizaciones del firmware para algunos de ellos, así como una lista de productos afectados y parches disponibles que probablemente actualizará a medida que lance más correcciones.

Lucian Constantin, IDG News Service