Cisco actualiza versiones y corrige problemas de seguridad

Según la agencia de noticias de tecnología IDG News, la compañía Cisco Systems, lanza nuevas versiones de IOS XR para corregir graves problemas de seguridad

cisco seguridad

La Agencia de Noticias IDG, anunció que Cisco Systems lanzó nuevas versiones de sus programas para corregir fallas de seguridad en las redes y equipos de telecomunicaciones. Entre las actualizaciones se encuentra la serie que corrige la vulnerabilidad que estaba sucediendo con los marcos de trabajo del software Apache Struts, una herramienta de soporte para el desarrollo de aplicaciones Web. La falla, identificada como CVE-2013-2251, se encuentra en el componente DefaultActionMapper Struts "y fue "parcheado" por Apache Struts en la versión 2.3.15.1, el cual fue lanzado en julio.

 Adicionalmente, Cisco lanzó nuevas versiones de Cisco IOS XR Software para corregir algunos problemas con el manejo de “paquetes fragmentados” que pueden ser alterados con el propósito de ocasionar fallas el las tarjetas de la ruta de procesador de cisco. La compañía también dio a conocer las actualizaciones de seguridad de Cisco Identity Services Engine ( ISE ), una plataforma de gestión de la política de seguridad para redes cableadas, inalámbricas y conexiones VPN que permite mejorar la seguridad de la infraestructura y agilizar las operaciones de servicio. Estas actualizaciones evitarán que ciberdelincuentes puedan intervenirlas de manera remota y de esta manera, eludir la autenticación y la descarga de la configuración del producto u otra información sensible, incluyendo credenciales administrativas.

Las nuevas versiones de Cisco integran ese parche en la versión de Struts que utiliza la Edición 3000 de Comunicaciones Unificadas Cisco, Cisco Identity Services Engine, Media Experience Engine Cisco (MXE) Serie 3500 y Cisco Unified SIP Proxy.

Ingenieros de Cisco declararon "El impacto de esta vulnerabilidad en los productos de Cisco varía según el producto afectado", dijo Cisco en un aviso. "La explotación con éxito de Cisco ISE, Cisco Unified SIP Proxy y Cisco Business Edition 3000 podría dar lugar a un comando arbitrario ejecutado en el sistema afectado."

No se necesita autenticación para ejecutar el ataque a Cisco ISE y Cisco Unified SIP Proxy, sin embargo, en el caso Cisco Business Edition 3000, el delincuente requiere credenciales válidas o engañar a un usuario con credenciales válidas para que se ejecute una dirección URL maliciosa, dijo la compañía .

Struts 2.3.15.3, lanzado el 17 de octubre, apagó el apoyo a la "acción:" prefijo por defecto y añadir dos nuevos parámetros llamados "struts.mapper.action.prefix.enabled" y "struts.mapper.action.prefix. crossNamespaces "que se pueden utilizar para controlar mejor el comportamiento de DefaultActionMapper.

Los desarrolladores de Struts recomiendan actualizar con sentido de urgencia, el programa Struts 2.3.15.3, pero retenidos en la liberación de más detalles sobre CVE-2013 hasta 4310 hasta que es adoptado ampliamente el parche.

No está claro cuándo o si Cisco corregirá CVE-2013-4310 en sus productos, no obstante la solución tiene la opción de desactivación de la "acción:" prefijo.

Para mayor detalle corrección de la vulnerabilidad en los productos mencionados, Cisco tiene habilitada la herramienta virtual “Cisco Advisor” para que los usuarios amplíen y reciban soporte online.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *