Cisco исправляет уязвимости в ряде своих продуктов


CiscoКомпанией Cisco было выпущено несколько бюллетеней безопасности с описанием ряда уязвимостей в некоторых продуктах. Неисправленные бреши затрагивают следующие продукты:

  • Cisco Unified Computing System;
  • Cisco Unity Connection;
  • Cisco Unified SIP Phone 3905.


В бюллетенях описываются:

Cisco-SA-20151201-UCS1 - уязвимость в платформе для дата-центров Cisco Unified Computing System (UCS). Брешь позволяет удаленному пользователю осуществить CSRF-атаку. Уязвимой являются версии UCS 1.3 и 1.3.0.1. Сама уязвимость существует из-за недостаточной проверки подлинности HTTP-запросов. С помощью специально сформированной страницы злоумышленник может выполнить некоторые действия от имени пользователя.

Cisco-SA-20151202-PCA - брешь в программе по обмену сообщениями и голосовой почтой Cisco Unity Connection версии 9.1. Здесь уязвимость существует из-за некорректной проверки пользовательских данных. Удаленный пользователь с помощью специально сформированной ссылки может выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Cisco-SA-20151202-SIP - уязвимость в SIP-телефоне Cisco SIP Phone 3905. Брешь существует из-за ресурсных ограничений устройства. Удаленный пользователь может осуществить DoS-атаку путем отправки большого объема трафика на целевой аппарат.

Также компания исправила уязвимость повышения привилегий в Cisco WebEx Meetings for Android. Данная брешь позволяла злоумышленнику повысить привилегии на системе с помощью предустановленного вредоносного приложения. Уязвимость затрагивает Cisco WebEx Meetings for Android 8.5.1 и более ранние версии приложения.


Обновлено (03.12.2015 22:24)