1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2817/03/2008=29_Dos_vulnerabilidades_en_Cisc

    From noticias@hispasec.com@2:341/201.99 to All on Tue Mar 18 03:30:00 2008
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 17/03/2008
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Dos vulnerabilidades en Cisco Secure ACS para Windows
    ------------------------------------------------------

    Se han encontrado dos vulnerabilidades en la aplicación User-Changeable Password (UCP) en Cisco Secure Access Control Server (ACS) para Windows
    que podrían ser explotadas por un atacante remoto para ejecutar código arbitrario o realizar ataques de cross-site scripting.

    * La primera vulnerabilidad está causada por varios desbordamientos de
    búfer en el código CSuserCGI.exe de la aplicación UCP, que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario.

    * La segunda es una vulnerabilidad de cross-site scripting en la página
    web de la aplicación UCP (en el código CsuserCGI.exe), que podría ser aprovechada por un atacante remoto para ejecutar código HTML o
    JavaScript arbitrario en el contexto de seguridad del navegador de un
    usuario que visita la web afectada.

    La vulnerabilidad afecta a los dispositivos Cisco ACS que ejecutan UCP
    con una versión anterior a la 4.2.

    Cisco, a través de los canales habituales, ha puesto a disposición de
    sus clientes soluciones para solventar el problema.

    Se aconseja consultar la tabla de versiones vulnerables y
    contramedidas en: http://www.cisco.com/warp/public/707/cisco-sa-20080312-ucp.shtml

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3432/comentar

    Más información:

    Cisco Secure Access Control Server for Windows User-Changeable Password Vulnerabilities http://www.cisco.com/warp/public/707/cisco-sa-20080312-ucp.shtml


    Laboratorio Hispasec
    laboratorio@hispasec.com


    Tal día como hoy:
    -----------------

    17/03/2007: Denegación de servicio y ejecución de código en CA BrightStor ARCserve Backup
    http://www.hispasec.com/unaaldia/3066

    17/03/2006: Vulnerabilidades de ejecución remota de código en Microsoft Office
    http://www.hispasec.com/unaaldia/2701

    17/03/2005: Denegación de servicio en Apache Tomcat 3.x
    http://www.hispasec.com/unaaldia/2336

    17/03/2004: Actualización de la librería OpenSSL
    http://www.hispasec.com/unaaldia/1970

    17/03/2003: Problemas con los accesos directos de Windows
    http://www.hispasec.com/unaaldia/1604

    17/03/2002: Un gusano que se camufla como mensaje de Microsoft
    http://www.hispasec.com/unaaldia/1239

    17/03/2001: El 25% de las agencias gubernamentales norteamericanos son vulnerables
    http://www.hispasec.com/unaaldia/874

    17/03/2000: Principio de acuerdo entre Europa y Estados Unidos sobre protección
    de datos
    http://www.hispasec.com/unaaldia/507

    17/03/1999: Ataque contra Servicios de Directorio de Microsoft
    http://www.hispasec.com/unaaldia/141


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2008 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)