Global Preloader
Vulnerabilidad
(03/Aug/2017) Cisco repara fallas graves en productos ISE y VDS TV

Cisco repara fallas graves en productos ISE y VDS TV

Cisco publicó el miércoles más de una docena de avisos de seguridad que describen vulnerabilidades en varios productos. Dos de los errores que afectan a la Suite de Distribución de Videoscape para Televisión (VDS TV) y al Motor de Servicios de Identidad (ISE) han sido clasificados como de alta severidad.

VDS TV, antes conocido como Content Delivery System for Television, es una solución de infraestructura de video virtual que permite a los proveedores de servicios entregar, almacenar y transmitir contenido de video a los suscriptores. El ISE es un producto de seguridad de red utilizado en los sectores de salud, telecomunicaciones, finanzas, manufactura, minorista y educación, incluyendo organizaciones tales como las Naciones Unidas, Virgin Media, AT&T y JC Penney.

El agujero de seguridad en VDS TV, CVE-2017-6745, existe en el servidor de caché del producto y permite a un hacker remoto no autenticado causar una condición de denegación de servicio (DoS) en el dispositivo de destino enviándoles grandes cantidades de tráfico entrante. "La vulnerabilidad se debe a un exceso de conexiones mapeadas que agotan los recursos asignados dentro del sistema. Una explotación exitosa podría hacer que el dispositivo se sobrecargue, lo que resulta en una condición DoS", dijo Cisco en su asesoramiento.

La debilidad que afecta a ISE, CVE-2017-6747, existe en el módulo de autenticación del producto y permite a un atacante remoto omitir la autenticación y, posiblemente, obtener privilegios de superadministrador en el portal de administración ISE.

Cisco ISE, ISE Express e ISE Virtual Appliance que ejecutan versiones 1.3, 1.4, 2.0.0, 2.0.1 o 2.1.0 están afectados. Una corrección para la vulnerabilidad está incluida en las versiones 1.4.0 parche 11, 2.0.0 parche 5, 2.0.1 parche 5 y parche 2.1.0 2. La versión 2.2.x no se ve afectada.

Ambos defectos de alta severidad fueron descubiertos internamente y no hay evidencia de explotación con fines maliciosos.