S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 18 décembre 2006 No CERTA-2006-AVI-563

Affaire suivie par :

CERTA

Objet : Multiples vulnérabilités dans Avaya Predictive Dialing System

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Exécution de code arbitraire à distance ;
• exécution de commandes arbitraires à distance ;
• déni de service à distance ;
• contournement de la politique de sécurité.

2 Systèmes affectés

Avaya Predictive Dialing System (PDS).

3 Description

De multiples vulnérabilités présentes dans Avaya Predictive Dialing System permettent à un utilisateur distant malintentionné de provoquer un déni de service, de contourner la politique de sécurité, d'exécuter des commandes et du code arbitraire.

4 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

5 Documentation

• Bulletin de sécurité Avaya ASA-2006-260 du 11 décembre 2006 :

  http://support.avaya.com/elmodocs2/security/ASA-2006-260.pdf
  

• Bulletin de sécurité Avaya ASA-2006-262 du 11 décembre 2006 :

  http://support.avaya.com/elmodocs2/security/ASA-2006-262.pdf
  

• Référence CVE CVE-2005-2969 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-2969
  

• Référence CVE CVE-2006-0225 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0225
  

• Référence CVE CVE-2006-2937 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2937
  

• Référence CVE CVE-2006-2940 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2940
  

• Référence CVE CVE-2006-3738 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3738
  

• Référence CVE CVE-2006-4343 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4343
  

• Référence CVE CVE-2006-4924 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4924
  

Gestion détaillée du document

18 décembre 2006

version initiale.