Noticias
Cisco corrige varios fallos graves de seguridad en sus Web Security Appliance
Cisco Systems ha corregido cuatro vulnerabilidades graves en sus dispositivos Web Security Appliance que, según Computerworld, podían dar lugar a ataques de denegación de servicio, lo que podía impedir a este dispositivo procesar correctamente el tráfico de Internet. Esta línea de dispositivos de Cisco, que utilizan un sistema operativo denominado AsyncOS, es una gama de aparatos de seguridad encargados de supervisar todo el tráfico web que entra y sale de la red de una organización. Se utilizan para detectar malware, evitar fugas de datos y reforzar las políticas de acceso a internet de los usuarios de una red, así como de las aplicaciones y programas empleados en los equipos que forman parte de ella.
En total, la compañía ha corregido cuatro vulnerabilidades en ellos. Una de ellas permite detener la gestión que el sistema operativo del aparato efectúa de un código de respuesta HTTP específico. Gracias a ella, un atacante podría enviar una petición HTTP modificada específicamente para consumir toda la memoria de un aparato afectado. Si esto sucede, el dispositivo no aceptará nuevas peticiones entrantes de conexión. Dicha vulnerabilidad afecta a todas las versiones del sistema operativo Cisco AsyncOS anteriores a la 9.0.1-162, y la compañía está aconsejando a sus clientes que actualicen el software de sus dispositivos a dicha versión. La 9.1 tampoco está afectada.
Otra de las vulnerabilidades corregidas tiene su origen en una falta de validación de entrada correcta de los paquetes que forman parte de las peticiones HTTP POST. Puede explotarse a través de peticiones HTTP creadas específicamente para aprovechar este fallo y puede hacer que el proceso de proxy se quede colgado y el dispositivo se reinicie una y otra vez. Esta vulnerabilidad sólo afecta a los dispositivos con AsyncOS 8.0, por lo que la actualización a las versiones 8.0.6-119 o 9.0.1-162 (esta última tiene parches para los cuatro fallos) soluciona el problema.
La tercera vulnerabilidad se debe a un fallo en la memoria cuando se solicita, a través del Web Security Appliance, un rango de archivos para contenido almacenado en caché. Si un atacante abre varias conexiones y pide múltiples rangos de archivos, puede conseguir que el dispositivo se quede sin memoria y deje de pasar tráfico a través de él. Afecta a las versiones de AsyncOS comprendidas entre la 8.5 y la 8.8, y la actualización a la 9.0.1-162 soluciona el fallo.
Por último, la cuarta vulnerabilidad se debe a que AsyncOS no asigna correctamente el espacio para una cabecera HTTP y una carga HTTP esperada. Si este fallo se explota, puede ocasionar la recarga del proceso de proxy y la detención del tráfico. Afecta a las versiones 8.8 y anteriores. Cisco ha reparado el error en la versión 8.5.3-069 sólo para la versión 8.5, así como en la mencionada 9.0.1-162.
SAP duplica su adopción en la nube pública en las empresas de España en el último año
HPE ProLiant Gen11 con AMD, las claves de su éxito
Lenovo ThinkPad P1 Gen 7, la primera workstation portátil con memoria de bajo consumo LPCAMM2
IBM compra HashiCorp por 6.400 millones de dólares
Cinco formas en que la IA puede mejorar la política de backups de la empresa
Las empresas españolas, por detrás de la media en la adopción de soluciones de IA
Cómo la tecnología mejora el día a día en un quirófano
Educación y tecnologías: ¿cuáles se han impuesto en las aulas?
Cómo superar los desafíos a los que se enfrentan las empresas en entornos híbridos
Canva compra Affinity para convertirse en competidor de Adobe
El Gobierno de España ya tiene el 3% de Telefónica a través de la SEPI
Orange y MasMovil han cerrado su fusión en España: ya funcionan como una sola empresa
SAP duplica su adopción en la nube pública en las empresas de España en el último año
La subida de los salarios en empresas de tecnología se ralentiza
El Gobierno de España ya tiene el 3% de Telefónica a través de la SEPI
Intel refuerza su apuesta por la IA con dos nuevas iniciativas importantes
Educación y tecnologías: ¿cuáles se han impuesto en las aulas?
Cómo la tecnología mejora el día a día en un quirófano
-
NoticiasHace 6 díasHuawei muestra su potencial para empresas y cloud en España en el Digital Transformation Summit
-
EntrevistasHace 6 días«El low code en sí no es una tecnología o una plataforma, es una estrategia»
-
NoticiasHace 6 díasCinco estrategias para mejoras la experiencia del cliente que compra on-line
-
NoticiasHace 6 díasLinux Foundation lanza Open Platform for Enterprise AI para crear herramientas de IA generativa open source