Multiples vulnérabilités dans Cisco IP Phone

Gestion du document

Référence	CERTFR-2019-AVI-120
Titre	Multiples vulnérabilités dans Cisco IP Phone
Date de la première version	21 mars 2019
Date de la dernière version	21 mars 2019
Source(s)	Bulletin de sécurité Cisco cisco-sa-20190320-ipptv du 20 mars 2019 Bulletin de sécurité Cisco cisco-sa-20190320-ipfudos du 20 mars 2019 Bulletin de sécurité Cisco cisco-sa-20190320-ipab du 20 mars 2019 Bulletin de sécurité Cisco cisco-sa-20190320-ip-phone-rce du 20 mars 2019 Bulletin de sécurité Cisco cisco-sa-20190320-ip-phone-csrf du 20 mars 2019
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Exécution de code arbitraire à distance
Déni de service à distance
Contournement de la politique de sécurité
Atteinte à l'intégrité des données
Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

Cisco IP Phone exécutant une version logicielle de SIP antérieure à 11.0(5) pour Wireless IP Phone 8821-EX et 12.5(1)SR1 pour la série IP Phone 8800
Cisco IP Phone 7800 et 8800 exécutant une version logicielle de SIP avec la fonctionnalité web service active antérieure à 10.3(1)SR5 pour Unified IP Conference Phone 8831, 11.0(4)SR3 pour Wireless IP Phone 8821 et 8821-EX et 12.5(1)SR1 pour le restes des IP Phone 7800 et 8800

Résumé

De multiples vulnérabilités ont été découvertes dans Cisco IP Phone. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Cisco cisco-sa-20190320-ipptv du 20 mars 2019
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipptv
Bulletin de sécurité Cisco cisco-sa-20190320-ipfudos du 20 mars 2019
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipfudos
Bulletin de sécurité Cisco cisco-sa-20190320-ipab du 20 mars 2019
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipab
Bulletin de sécurité Cisco cisco-sa-20190320-ip-phone-rce du 20 mars 2019
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce
Bulletin de sécurité Cisco cisco-sa-20190320-ip-phone-csrf du 20 mars 2019
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-csrf
Référence CVE CVE-2019-1765
https://www.cve.org/CVERecord?id=CVE-2019-1765
Référence CVE CVE-2019-1766
https://www.cve.org/CVERecord?id=CVE-2019-1766
Référence CVE CVE-2019-1763
https://www.cve.org/CVERecord?id=CVE-2019-1763
Référence CVE CVE-2019-1716
https://www.cve.org/CVERecord?id=CVE-2019-1716
Référence CVE CVE-2019-1764
https://www.cve.org/CVERecord?id=CVE-2019-1764

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Cisco IP Phone