Risque
- Déni de service à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
- Cisco Unified CallManager versions 4.1 ;
- Cisco Unified Communications Manager versions 4.2 antérieures à 4.2(3)SR4 ;
- Cisco Unified Communications Manager versions 4.3 antérieures à 4.3(2)SR1 ;
- Cisco Unified Communications Manager versions 5.x antérieures à 5.1(3c) ;
- Cisco Unified Communications Manager versions 6.x antérieures à 6.1(2).
Résumé
Deux vulnérabilités dans Cisco Unified Communications Manager permettent de réaliser un déni de service à distance et de contourner la politique de sécurité.
Description
Deux vulnérabilités ont été découvertes dans Cisco Unified Communications Manager (CUCM) :
- le service Computer Telephony Integration Manager des versions 5.x et 6.x de CUCM ne traite pas correctement certaines données, ce qui peut conduire à un déni de service à distance (CVE-2008-2061) ;
- l'authentification intégrée au service Real-Time Information Server Data Collector des versions 4.x, 5.x et 6.x de CUCM peut être contournée, ce qui permet d'avoir accès à certaines informations confidentielles (CVE-2008-2062 et CVE-2008-2730).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco 20080625-cucm du 25 juin 2008 :
http://www.cisco.com/warp/public/707/cisco-sa-20080625-cucm.shtml
- Référence CVE CVE-2008-2061 :
https://www.cve.org/CVERecord?id=CVE-2008-2061
- Référence CVE CVE-2008-2062 :
https://www.cve.org/CVERecord?id=CVE-2008-2062
- Référence CVE CVE-2008-2730 :
https://www.cve.org/CVERecord?id=CVE-2008-2730
