Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Ohartarazpen teknikoak

Gure segurtasun-ohartarazpenen zerbitzua (Alerts and Warnings) erakunderen -Instituto Nacional de Ciberseguridad de España, S.A. (INCIBE) feed-ekin elikatzen da, horiekin dugun lankidetza-hitzarmen baten bidez.


Logo de incibe

Hainbat ahultasun Ciscoren produktuetan

Argitalpen data: 2020/06/18

Garrantzia: Altua

Recursos afectados:

  • Cisco Webex Meetings, honako bertsioak:
    • WBS 39.5.25 eta lehenagokoak;
    • WBS 40.4.10 eta lehenagokoak;
    • WBS 40.6.0.
  • Cisco Webex Meetings Server, 4.0MR3 eta lehenagoko bertsioak;
  • Cisco Webex Meetings Desktop App, 39.5.12 baino lehenagoko bertsioak;
  • Mac-erako Cisco Webex Meetings Desktop App, 39.5.11 baino lehenagoko bertsioak;
  • Cisco TelePresence Collaboration Endpoint Software eta RoomOS Software, May Drop 2 2020 baino lehenagoko bertsioak;
  • Cisco Small Business, router eta firmware bertsio hauek: 
    • RV016 Multi-WAN VPN 4.2.3.10 eta lehenagokoak;
    • RV042 Dual WAN VPN 4.2.3.10 eta lehenagokoak;
    • RV042G Dual Gigabit WAN VPN 4.2.3.10 eta lehenagokoak;
    • RV082 Dual WAN VPN 4.2.3.10 eta lehenagokoak;
    • RV320 Dual Gigabit WAN VPN 1.5.1.05 eta lehenagokoak;
    • RV325 Dual Gigabit WAN VPN 1.5.1.05 eta lehenagokoak;
    • RV110W Wireless-N VPN Firewall 1.2.2.5 eta lehenagokoaks;
    • RV130 VPN Router 1.0.3.54 eta lehenagokoak;
    • RV130W Wireless-N Multifunction VPN Router 1.0.3.54 eta lehenagokoak;
    • RV215W Wireless-N VPN Router 1.3.1.5 eta lehenagokoak.

Azalpena:

Ciscok hainbat produkturi eragiten dieten larritasun altuko 23 ahultasun aurkitu ditu.

Konponbidea:

Aipatutako ahultasunak konpontzen dituzten eguneraketak Software de Ciscoren deskarga paneletik deskarga daitezke. Informazio zehatzagoa eskuratzeko Erreferentziak atala irakurri.

Xehetasuna:

Aurkitutako ahultasunak baliatuz urruneko erasotzaile batek ondoko ekintzak egin litzake:

  • baimenik gabeko sarbidea lortzea Webex webgune ahul batera,
  • programak exekutatzea azken erabiltzailearen sisteman,
  • kode arbitrarioa exekutatzea,
  • fitxategien sistema aldatzea zerbitzuaren ukapen egoera (DoS) sortzeko edo fitxategien sisteman root pribilegioak eskuratzeko.

Honako identifikatzaile hauek esleitu dira: CVE-2020-3361, CVE-2020-3263, CVE-2020-3342, CVE-2020-3336, CVE-2020-3286, CVE-2020-3287, CVE-2020-3288, CVE-2020-3289, CVE-2020-3290, CVE-2020-3291, CVE-2020-3292, CVE-2020-3293, CVE-2020-3294, CVE-2020-3295, CVE-2020-3296, CVE-2020-3268, CVE-2020-3269, CVE-2020-3274, CVE-2020-3275, CVE-2020-3276, CVE-2020-3277, CVE-2020-3278 eta CVE-2020-3279.

Etiketak: Ahultasuna, Cisco, Eguneraketa