 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 29 janvier 2010
No CERTA-2010-AVI-034 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Cisco Unified
MeetingPlace
Tableau 1: Gestion du document
| Référence |
CERTA-2010-AVI-034 |
| Titre |
Multiples
vulnérabilités dans Cisco Unified
MeetingPlace |
| Date de la première
version |
29 janvier 2010 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Cisco cisco-sa-20100127-mp
du 27 janvier 2010 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Contournement de la politique de sécurité
;
- atteinte à l'intégrité des
données ;
- atteinte à la confidentialité des
données ;
- élévation de privilèges.
- Cisco Unified MeetingPlace versions 5.x ;
- Cisco Unified MeetingPlace versions 6.x ;
- Cisco Unified MeetingPlace versions 7.x.
De multiples vulnérabilités ont été
découvertes dans Cisco Unified MeetingPlace.
L'exploitation de ces vulnérabilités permet de
réaliser différentes actions malveillantes,
allant jusqu'à l'élévation de
privilèges.
Quatre vulnérabilités ont été
découvertes dans Cisco Unified MeetingPlace :
- la première est due à une erreur dans la
gestion des requêtes SQL et peut être
exploitée afin d'injecter du code SQL
arbitraire ;
- la deuxième est due à une erreur dans la
gestion des requêtes à destination de
l'interface interne du serveur web. L'exploitation de cette
vulnérabilité permet de contourner les
mécanismes de sécurité ;
- la troisième et la quatrième
vulnérabilité sont dues à des erreurs
dans le mécanisme d'authentification
MeetingTime et peuvent être exploitées
afin de récupérer des couples
d'authentification et/ou d'élever ses
privilèges au niveau administrateur.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 29 janvier 2010
- version initiale.
CERTA
2012-01-04
|
|
)
