Risque
- Exécution de code arbitraire à distance ;
- contournement de la politique de sécurité ;
- atteinte à la confidentialité des données.
Systèmes affectés
Les versions d'Alcatel-Lucent OmniPCX Office :
- OXO210 antérieures à 210/091.001 ;
- 0X0310 antérieures à 310/056.001 ;
- 0X0410 antérieures à 410/057.001 ;
- 0X0510 antérieures à 510/037.001 ;
- 0X0600 antérieures à 610/014.001.
Résumé
Une vulnérabilité a été identifiée dans un script CGI associé à l'interface Web d'Alcatel-Lucent OmniPCX Office. Celle-ci peut être exploitée par une personne distante pour exécuter des commandes arbitraires sur le système vulnérable.
Description
Une vulnérabilité a été identifiée dans un script CGI associé à l'interface Web d'Alcatel-Lucent OmniPCX Office. Elle implique /cgi-data/FastJSData.cgi.
Cette vulnérabilité peut être exploitée par une personne distante pour exécuter des commandes arbitraires sur le système vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Référence CVE CVE-2008-1331 :
https://www.cve.org/CVERecord?id=CVE-2008-1331
- Mises à jour fournies par Alcatel-Lucent :
http://www1.alcatel-lucent.com/enterprise/en/products/ip_telephony/omnipcxenterprise/index.html
- Avis de sécurité Alcatel Lucent SA034 :
http://www1.alcatel-lucent.com/psirt/statements/2008001/OXOrexec.htm