S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 03 mai 2006
N° CERTA-2006-AVI-178
Affaire suivie par: CERT-FR
le 03 mai 2006

Avis du CERT-FR

Objet: Vulnérabilité dans Cisco Unity Express

Gestion du document

Référence CERTA-2006-AVI-178
Titre Vulnérabilité dans Cisco Unity Express
Date de la première version 03 mai 2006
Date de la dernière version 03 mai 2006
Source(s) Bulletin de sécurité Cisco cisco-sa-20060501-cue du 01 mai 2006
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • atteinte à l'intégrité des données.

Systèmes affectés

Cisco Unity Express 2.x.

Résumé

Une vulnérabilité dans Cisco Unity Express permet à un utilisateur distant mal intentionné de porter atteinte à l'intégrité des données et de contourner la politique de sécurité.

Description

La vulnérabilité est causée par une erreur dans l'interface web de gestion lors du changement d'un mot de passe. Cette vulnérabilité peut être exploitée par un individu mal intentionné dansle but de modifier le mot de passe d'un autre utilisateur par un mot de passe vide, expiré ou aléatoire. Un utilisateur malveillant pourrait obtenir les privilèges de l'administrateur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 03 mai 2006
    version initiale.