S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 05 avril 2012
N° CERTA-2012-AVI-193
Affaire suivie par: CERT-FR
le 05 avril 2012

Avis du CERT-FR

Objet: Vulnérabilités dans Cisco WebEx Player

Gestion du document

Référence CERTA-2012-AVI-193
Titre Vulnérabilités dans Cisco WebEx Player
Date de la première version 05 avril 2012
Date de la dernière version 05 avril 2012
Source(s) Bulletin de sécurité cisco-sa-20120404 du 04 avril 2012
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • Cisco WebEx Business Suite version 27.32.0 (T27 LD SP32) et antérieures ;
  • Cisco WebEx Business Suite version 27.25.9 (T27 LC SP25 EP9) et antérieures ;
  • Cisco WebEx Business Suite version 27.21.10 (T27 LB SP21 EP10) et antérieures ;
  • Cisco WebEx Business Suite version 27.11.26 (T27 L SP11 EP26) et antérieures.

Résumé

Trois vulnérabilités de type buffer overflow ont été corrigées dans le lecteur Cisco WebEx Recording Format (WRF).

Dans certains cas, l'exploitation de ces vulnérabilités permettent à un attaquant d'exécuter du code arbitraire à distance.

Solution

Plusieurs scénarios sont possibles concernant la mise à jour vers une version corrigée :

  • si le lecteur WRF a été installé manuellement, il est nécessaire d'installer la nouvelle version manuellement après l'avoir téléchargée sur le site http://www.webex.com ;
  • si le lecteur WRF a été installé automatiquement, la mise à jour vers la dernière version est automatique lorsqu'un utilisateur ouvre un fichier d'enregistrement hébergé sur un site WebEx meeting.

Se référer au bulletin de sécurité de l'éditeur pour de plus amples détails (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 05 avril 2012
    version initiale.