Η Cisco Systems επιδιόρθωσε μια κρίσιμη ευπάθεια που θα μπορούσε να επιτρέψει σε χάκερ να αποκτήσουν πρόσβαση στους Cisco Meeting και Acano servers που χρησιμοποιούνται σε περιβάλλοντα επιχειρήσεων για video και audio conferencing.
Το ελάττωμα επιτρέπει σε έναν μη εξουσιοδοτημένο εισβολέα να μεταμφιεστεί σε νόμιμο χρήστη, διότι η Extensible Messaging and Presence Protocol (XMPP) υπηρεσία επεξεργάζεται εσφαλμένα ένα απαρχαιωμένο σύστημα ελέγχου ταυτότητας, είπε η Cisco σε ένα advisory.
Το ελάττωμα επηρεάζει τις Cisco Meeting Server εκδόσεις πριν από την 2.0.6 με την XMPP ενεργοποιημένη, καθώς και εκδόσεις του Acano Server πριν από την 1.8.18 και πριν από την 1.9.6. Εάν η αναβάθμιση στα τελευταία releases δεν είναι άμεσα δυνατή, οι διαχειριστές συνιστάται να απενεργοποιήσουν την XMPP στους κεντρικούς υπολογιστές τους και να συνεχίσουν να χρησιμοποιούν άλλα διαθέσιμα πρωτόκολλα.
Την Τετάρτη η εταιρεία επιδιόρθωσε ένα ακόμη denial-of-service ελάττωμα
στο Cisco Wide Services Area Application (WAAS), ένα Clickjacking ελάττωμα στο Cisco Unified Communications Manager (CUCM), μια SQL injection ευπάθεια στη Cisco Prime Infrastructure και Evolved Programmable Network Manager SQL βάση δεδομένων και ένα θέμα που θα μπορούσε να επηρεάσει την ακεραιότητα διαμόρφωσης των Cisco CBR-8 converged broadband routers.Όλα αυτά τα θέματα ευπαθειών έχουν αξιολογηθεί ως μέτριας σοβαρότητας και υπάρχουν διαθέσιμα patches για να τα διορθώσετε. Ωστόσο, η εταιρεία προειδοποίησε τους πελάτες της και για ένα cross-site πλαστογραφημένο request ευπάθειας στο Cisco Finesse Agent and Supervisor Desktop Software που δεν έχει ακόμη μια λύση ή έναν τρόπο να λυθεί προσωρινά.
Η Cisco έχει, επίσης, διερευνήσει τις επιπτώσεις των πρόσφατων ευπαθειών που βρέθηκαν σε OpenSSL για τα προϊόντα της και κυκλοφόρησε ενημερώσεις λογισμικού για ένα μεγάλο αριθμό από αυτές που ενσωματώνουν τα OpenSSL patches.