S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 26 octobre 2011 No CERTA-2011-AVI-594

Affaire suivie par :

CERTA

Objet : Vulnérabilités dans Alcatel OmniTouch Instant Communication Suite

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Injection de code indirecte à distance ;
• injection de requêtes illégitime par rebond.

2 Systèmes affectés

• Alcatel-Lucent OmniTouch 8400 Instant Communicaion Suite ;
• Alcatel-Lucent Business integrated Communication Solution.

3 Résumé

Plusieurs vulnérabilités ont été corrigées dans Alcatel OmniTouch Instant Communication Suite et permettent à une personne malintentionnée de réaliser une injection de code indirecte à distance (XSS) ou une injection de requêtes illégitime par rebond (CSRF).

4 Description

Plusieurs vulnérabilités ont été corrigées dans Alcatel OmniTouch Instant Communication Suite. Une vulnérabilité dans la partie «WebAdmin» permet à une personne maintentionnée de réaliser une injection de code indirecte à distance. Plusieurs vulnérabilités concernant la partie «Websoftphone» permettent à une personne maintentionnée de réaliser une injection de requêtes illégitime par rebond.

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Bulletin de sécurité Alcatel-Lucent 2011003 du 24 octobre 2011 :
  http://www.alcatel-lucent.com/wps/DocumentStreamerServlet?LMSG_CABINET=Corporate&LMSG_CONTENT_FILE=Support/Security/2011003.pdf
• Référence CVE CVE-2011-4058 :
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4058
• Référence CVE CVE-2011-4059 :
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4059

Gestion détaillée du document

26 octobre 2011

version initiale.