S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 04 mars 2010 No CERTA-2010-AVI-105

Affaire suivie par :

CERTA

Objet : Multiples vulnérabilités dans Cisco Digital Media Manager

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Contournement de la politique de sécurité ;
• atteinte à la confidentialité des données ;
• élévation de privilèges.

2 Systèmes affectés

• Cisco Digital Media Manager 5.0.x ;
• Cisco Digital Media Manager 5.1.x.

3 Résumé

Plusieurs vulnérabilités dans Cisco Digital Media Manager permettent à une personne malintentionnée de contourner la politique de sécurité, d'élever ses privilèges ou de porter atteinte à la confidentialité des données.

4 Description

De multiples vulnérabilités dans Cisco Digital Media Manager ont été découvertes :

• des données d'identification par défaut permettent à une personne malintentionnée de prendre le contrôle total de Cisco Digital Media Manager (CVE-2010-0570) ;
• une vulnérabilité permet à un utilisateur authentifié mais non autorisé de prendre le contrôle total de l'équipement (CVE-2010-0571) ;
• une vulnérabilité permet à un utilisateur authentifié mais non autorisé de prendre connaissance de données d'identification des utilisateurs (CVE-2010-0572) ;

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Bulletin de sécurité Cisco 20100303-dmm du 03 mars 2010 :

  http://www.cisco.com/warp/public/707/cisco-sa-20100303-dmm.shtml
  

• Référence CVE CVE-2010-0570 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0570
  

• Référence CVE CVE-2010-0571 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0571
  

• Référence CVE CVE-2010-0572 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0572
  

Gestion détaillée du document

04 mars 2010

version initiale.