Desbordamiento de búfer en temporizadores de sistema de Cisco IOS

Cisco ha anunciado la presencia de un error en su IOS (Internetwork Operating System) que permitiría a un atacante remoto ejecutar código arbitrario al provocar un desbordamiento de búfer en el heap del sistema afectado.

La compañía argumenta que en muchos casos, un desbordamiento de este tipo en Cisco IOS simplemente corromperá la memoria y activará una recarga del sistema cuando es detectada por el proceso Check Heaps que monitoriza constantemente este tipo de situaciones.

Sin embargo, un ataque con éxito permitiría la ejecución remota de código en el dispositivo sin que este caiga o se reinicie. En cualquier caso, Cisco ha incluido chequeos adicionales de integridad en el software para reducir la posibilidad de ejecución de código mediante estas técnicas.

Esta alerta se aplica a los productos Cisco que ejecuten IOS. Cualquier versión de IOS inferior a las dadas en la matriz de actualizaciones están afectadas por el problema: http://www.cisco.com/warp/public/707/cisco-sa-20051102-timers.shtml#software