El escarabajo de heartbleed es una grave vulnerabilidad en la biblioteca de software criptográfico OpenSSL populares. Esta debilidad permite el robo de la información protegida, en condiciones normales, por el cifrado SSL / TLS utilizado para asegurar la Internet. SSL / TLS proporciona la seguridad y la privacidad de comunicación a través de Internet para aplicaciones como web, correo electrónico, mensajería instantánea (IM) y algunas redes privadas virtuales (VPN).

El error heartbleed permite a cualquier usuario de Internet para leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves secretas utilizadas para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y contraseñas de los usuarios y el contenido real. Esto permite a los atacantes vigilar las comunicaciones, roban datos directamente de los servicios y usuarios y para suplantar a los servicios y los usuarios.

El HeartbleedBug y Cisco

La vulnerabilidad OpenSSL Heartbeat Extensión en múltiples productos de Cisco

Múltiples productos de Cisco incorporan una versión del paquete OpenSSL afectado por una vulnerabilidad que podría permitir a un atacante remoto no autenticado para recuperar la memoria en trozos de 64 kilobytes de un cliente o servidor conectado.

La vulnerabilidad se debe a una grada que faltan comprobar en el manejo de la extensión de los latidos del corazón Transport Layer Security (TLS). Un atacante podría aprovechar esta vulnerabilidad mediante la implementación de un TLS malicioso o de seguridad de cliente de capa de datagramas de Transporte (DTLS), si se trata de explotar la vulnerabilidad de un servidor afectado, o una TLS o DTLS servidor malicioso, tratando de explotar la vulnerabilidad en un cliente afectado . Un exploit podría enviar un TLS especialmente diseñado o paquete de latido DTLS al cliente o servidor conectado. Un exploit podría permitir al atacante divulga una porción limitada de memoria de un cliente o servidor conectado para cada paquete enviado latidos del corazón. Las porciones descritas de la memoria podrían contener información sensible que puede incluir claves privadas y contraseñas.

Tenga en cuenta que los dispositivos que se ven afectados por esta vulnerabilidad son los dispositivos que actúan como un servidor SSL terminación de conexiones SSL o dispositivos que actúan como un cliente SSL iniciar una conexión SSL. Los dispositivos que simplemente están atravesados ​​por el tráfico SSL sin necesidad de terminar no se ven afectados.

Este aviso se actualizará a medida que se disponga de información adicional. Cisco lanzará actualizaciones de software gratuitas que abordan estas vulnerabilidades. Soluciones que mitiguen estas vulnerabilidades pueden estar disponibles. Este aviso está disponible en el siguiente enlace:

Los siguientes productos de Cisco han sido analizados y no se ven afectados por esta vulnerabilidad:

• Cisco IP Video Phone E20
• Telepresencia de Cisco de la serie MXP
• Telepresencia de Cisco Advanced Media Gateway Series
• Telepresencia de Cisco IP Serie VCR
• Cisco TelePresence MCU todas las series

Los siguientes productos de Cisco están actualmente bajo investigación:

• Cisco TelePresence Movi con precisión HD USB / Jabber vídeo
• Servidor de Telepresencia de Cisco grabación
• Tandberg Tandberg 770/880/990 Series
• Codian ISDN GW 3210/3220/3240
• Tandberg Codian MSE 8310 modelo

Vulnerables a los productos TelePresence heartbleed

Los puntos finales

• Cisco escritorio experiencia de colaboración DX650 []
• Cisco TelePresence serie EX []
• Cisco TelePresence Integrador de la Serie C []
• Cisco TelePresence serie MX []
• Cisco TelePresence Perfil Serie []
• Cisco TelePresence System 1000 []
• Cisco TelePresence System 1100 []
• Cisco TelePresence System 1300 []
• Cisco TelePresence 1310 []
• Cisco TelePresence System 3000 Series []
• Cisco TelePresence System 500-32 []
• Cisco TelePresence System 500-37 []
• Cisco TelePresence SX Series []
• Cisco TelePresence TX Serie 9000 Versión [] 6.1.2.0 y antes

Infraestructura

• Cisco Unified Communications Manager (UCM) 10,0 []
• Cisco telepresencia Video Communication Server (VCS) []
• Expressway serie Cisco []
• Cisco TelePresence Conductor []
• Cisco TelePresence puerta de enlace IP de la serie []
• Cisco TelePresence ISDN GW 3241 []
• Cisco TelePresence MSE ISDN GW 8321 []
• Cisco TelePresence RDSI Enlace []
• Cisco TelePresence serie Gateway Series []
• Cisco TelePresence Servidor 8710, 7010 []
• Cisco TelePresence Server en varios participantes los medios de comunicación 310, 320 []
• Cisco TelePresence Server en la máquina virtual []
• Cisco TelePresence Supervisor MSE 8050 []