 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 22 février
2007
No CERTA-2007-AVI-098 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans les équipements CISCO
Unified IP
Tableau 1: Gestion du document
| Référence |
CERTA-2007-AVI-098 |
| Titre |
Multiples
vulnérabilités dans les
équipements CISCO Unified IP |
| Date de la première
version |
22 février 2007 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité CISCO du 21 février
2007 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Contournement de la politique de sécurité.
- Cisco Unified IP Conference Station 7935 ;
- Cisco Unified IP Conference Station 7936 ;
- Cisco Unified IP Phones 7900 Series.
Deux vulnérabilités affectent les
équipement des gammes Cisco Unified IP Conference
Station et Cisco Unified IP Phones, permettant un contournement
de la politique de sécurité.
Deux vulnérabilités ont été
identifiées dans Cisco Unified IP Conference Station et
Cisco Unified IP Phones :
- la première est due à une mauvaise gestion
des sessions de l'administrateur sur l'interface web de
gestion de l'équipement. L'exploitation de cette
vulnérabilité permet d'accéder
directement aux URL de gestion ;
- la deuxième est due à l'existence d'un
compte par défaut permettant d'accéder à
l'interface d'administration en ligne de commande
(CLI). L'exploitation de cette
vulnérabilité permet d'accéder au
téléphone IP vulnérable et
d'exécuter des commandes conduisant à un
déni de service et/ou une élévation de
privilèges.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 22 février 2007
- version initiale.
CERTA
2012-01-04
|
|
)
