S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 28 avril 2011
N° CERTA-2011-AVI-263
Affaire suivie par: CERT-FR
le 28 avril 2011

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Cisco Unified Communications Manager

Gestion du document

Référence CERTA-2011-AVI-263
Titre Multiples vulnérabilités dans Cisco Unified Communications Manager
Date de la première version 28 avril 2011
Date de la dernière version 28 avril 2011
Source(s) Bulletin de sécurité cisco-sa-20110427-cucm du 27 avril 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service à distance ;
  • dépôt de fichier ;
  • injection SQL.

Systèmes affectés

Cisco Unified Communications Manager versions 6.x, 7.x et 8.x.

Résumé

De multiples vulnérabilités dans Cisco Unified Communications Manager permettent des injections SQL, des dénis de service à distance ou le dépôt d'un fichier.

Description

De multiples vulnérabilités ont été découvertes dans Cisco Unified Communications Manager :

  • trois failles liées au traitement des messages SIP permettent de réaliser un déni de service à distance (CVE-2011-1604, CVE-2011-1605 et CVE-2011-1606) ;
  • un utilisateur authentifié qui parvient à intercepter le trafic réseau peut déposer un fichier malveillant sur le système (CVE-2011-1607) ;
  • des injections SQL sont possibles, ce qui permet la modification de la configuration du système, ainsi que l'ajout ou la suppression d'utilisateurs. L'une de ces deux vulnérabilités nécessite une authentification préalable (CVE-2011-1609 et CVE-2011-1610).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 28 avril 2011
    version initiale.