Ir al contenido principal

Vulnerabilidades en Cisco Unified Communications Domain Manager

Imagen
De

          Desde http://unaaldia.hispasec.com/ nos cuentan ...   

                     

Cisco ha publicado un aviso de seguridad en el que informa de la existencia de tres vulnerabilidades de diversa índole en Cisco Unified Communications Domain Manager que podrían permitir a atacantes modificar configuraciones o tomar el control de los sistemas afectados.

Cisco Unified Communications Domain Manager (Cisco Unified CDM) es una plataforma de distribución de servicios y gestión que proporciona funciones de automatización y administración sobre Cisco Unified Communications Manager, Cisco Unity Connection y aflicciones Cisco Jabber, así como sobre los teléfonos asociados y clientes de software.

Cisco Unified Communications Domain Manager (Cisco Unified CDM) se ve afectado por tres vulnerabilidades. El primero de los problemas, con CVE-2014-2197, reside en una implementación inadecuada de los controles de autenticación y autorización de la interfaz de administración. Un atacante remoto autenticado podría elevar sus privilegios y conseguir permisos administrativos a los sistemas con versiones Cisco Unified CDM Application Software anteriores a 8.1.4.

Por otra parte, los sistemas Cisco Unified CDM Platform con versiones de software anteriores a 4.4.2 almacenan de forma insegura una clave privada SSH, lo que podría permitir a un atacante obtener dicha clave. Esta vulnerabilidad (CVE-2014-2198) podría permitir a un atacante remoto conectarse mediante una cuenta de soporte sin ninguna autenticación. Un exploit podría permitir al atacante conseguir acceso al sistema con los privilegios de usuario root.Por último, se ha detectado una implementación inadecuada de los controles de autenticación y autorización al acceder a determinadas páginas del portal BVSMWeb (CVE-2014-3300). Mediante el envío de una URL específicamente creada al sistema un atacante podría acceder y modificar información de usuarios del portal BVSMWeb, como configuraciones del directorio de teléfonos personal, llamadas rápidas, número directo y reenvío de llamadas.

Esta vulnerabilidad afecta a versiones de software anteriores a la 10.


Cisco ha publicado actualizaciones gratuitas para corregir estas vulnerabilidades
Más información:

Multiple Vulnerabilities in Cisco Unified Communications Domain Manager


Fuente: 
http://unaaldia.hispasec.com/2014/07/vulnerabilidades-en-cisco-unified.html
Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

La H-1B: El viaje de un desarrollador iOS desde Honduras hasta Silicon Valley

De
Desde toptal.com nos cuentan ... La experiencia de un desarrollador Latinoamericano que llego hasta Silicon Valler desde Honduras, un interesante artículo que nos cuenta la travesía de llegar a trabajar en San Francisco, California. He aquí un fragmento del articulo: Por estos días, vivo en la gran ciudad de San Francisco. Obtuve un trabajo que amo, y uno con el cual soñé con tener durante mucho tiempo. Parece fácil ahora, pero no siempre fue así. Cómo empezó todo Nací en  San Pedro Sula , un pequeño pueblo en la esquina noroeste de Honduras. Comencé a programar cuando tenía 12 años. Todo empezó con BASIC. Un día, estaba jugando un vídeo juego y se colgó. Cuando ví la pantalla llena de códigos de error y mensajes, me picó la curiosidad—entonces comencé a aprender algunos comandos BASIC, que eventualmente me llevaron a comprar libros de programación sobre Clipper, Turbo Pascal, C, C++, etc. Fue genial. Tenía todo el tiempo del mundo para gastar programando cualq...
Publicar un comentario
Leer más

¿Qué es la ejecución de código arbitrario?

De
En informática , el término código arbitrario hace referencia a código muy largo que no será interpretado por una aplicación o sistema operativo sino que provocará un desbordamiento de búfer de esa aplicación o sistema operativo lo que hará que el trozo desbordado sea interpretado y/o ejecutado por el sistema bajo unas condiciones más favorables. Es utilizado para realizar ataques. Otra forma más simple de definirlo es que la ejecución de código arbitrario es: Una forma fácil en la que un atacante puede ejecutar "comandos" tan sencillo como pensar en que alguien a distancia esta tecleando comandos que pueden ser desde un inocente mkdir "para hacer directorio" hasta un rm "borrar directorio" o abrir puertos etc para troyanizar el equipo "mantener el acceso". Lo que también es conocido como remote code execution .
Publicar un comentario
Leer más

Por Qué Los Startups Necesitan Una Guía De Estilo

De
Incluso para un diseñador con experiencia, crear una nueva guía de estilo para un producto es difícil—hay muchas direcciones de diseño posible, y el proceso puede rápidamente convertirse en algo abrumador. La vida del  startup  es bastante agitada, rápida, y llena de clichés como “la perfección es la enemiga de tener algo hecho”, “muévete rápido y rompe cosas”, o “lancemos ahora, arreglemoslo después”. Crear una guía de estilo bajo dichos eslóganes y prioridades fluctuantes es desafiante, pero es necesario si queremos que el diseño de un producto tenga éxito a largo plazo. La  Experiencia Global de Lenguaje (GEL) de la BBC explica el propósito de cada componente y cómo deberían ser utilizados. En años recientes, hemos escuchado mucho sobre sistemas de diseño, guías de estilo, librerías de patrones, y  diseño atómico . Y si bien estas herramientas son muy útiles, usarlas puede sentirse como un exceso cuando lo único que quieres es crear un par de pantalla...
Publicar un comentario
Leer más