S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 28 avril 2011
No CERTA-2011-AVI-263 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Cisco Unified Communications
Manager
Tableau 1: Gestion du document
| Référence |
CERTA-2011-AVI-263 |
| Titre |
Multiples
vulnérabilités dans Cisco Unified
Communications Manager |
| Date de la première
version |
28 avril 2011 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité cisco-sa-20110427-cucm du
27 avril 2011 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service à distance ;
- dépôt de fichier ;
- injection SQL.
Cisco Unified Communications
Manager versions 6.x, 7.x et 8.x.
De multiples vulnérabilités dans Cisco Unified Communications Manager permettent
des injections SQL, des dénis de service à
distance ou le dépôt d'un fichier.
De multiples vulnérabilités ont
été découvertes dans Cisco Unified Communications Manager :
- trois failles liées au traitement des messages
SIP permettent de réaliser un déni de
service à distance (CVE-2011-1604, CVE-2011-1605 et
CVE-2011-1606) ;
- un utilisateur authentifié qui parvient à
intercepter le trafic réseau peut déposer un
fichier malveillant sur le système (CVE-2011-1607)
;
- des injections SQL sont possibles, ce qui permet la
modification de la configuration du système, ainsi que
l'ajout ou la suppression d'utilisateurs. L'une de ces deux
vulnérabilités nécessite une
authentification préalable (CVE-2011-1609 et
CVE-2011-1610).
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 28 avril 2011
- version initiale.
CERTA
2012-01-04
|
)
