Cisco ha publicado cinco boletines de seguridad que solventan diversas vulnerabilidades, entre las que se encuentran dos escaladas de directorios, dos ejecuciones de código y una denegación de servicio.

Los productos afectados son los siguientes:

* Cisco Unified Contact Center Express: Permitiría a un usuario remoto no autenticado obtener ficheros a través de una URL especialmente manipulada mediante una escalada de directorios. (CVE-2011-3315)

* Cisco Security Agent: El fallo, que permitiría una ejecución de código arbitrario, es debido a dos vulnerabilidades de software externo a Cisco, presentes en la librería 'Oracle Outside In' utilizada por Cisco Security Agent. (CVE-2011-0794 y CVE-2011-0808)

* Cisco Video Surveillance IP Cameras: Una denegación de servicio causada por el envío de paquetes RTSP TCP especialmente manipulados, causaría que las cámaras dejasen de emitir las imágenes grabadas y procediesen a reiniciarse. (CVE-2011-3318)

* Cisco WebEx Player: Varios desbordamientos de memoria intermedia en el reproductor Cisco WebEx Recording Format (WRF), podrían permitir que un atacante remoto ejecutase código arbitrario con los permisos del usuario afectado. (CVE-2011-3319 y CVE-2011-4004)

* Cisco Unified Communications Manager: El componente de procesamiento de llamadas IP de Cisto también se encuentra afectado por un fallo que permitiría la revelación, a través de una escalada de directorios, del contenido de archivos que en teoría no deberían ser accesibles desde el exterior del sistema. (CVE-2011-3315)

Junto con los boletines de seguridad, Cisco ha publicado las correspondientes actualizaciones que solventan todas las vulnerabilidades comentadas.

Javier Rascón
 jrascon@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4751