Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
- Cisco TelePresence Multipoint Switch ;
- Cisco TelePresence Manager ;
- Cisco TelePresence Immersive Endpoint Devices ;
- Cisco TelePresence Recording Server.
Résumé
Cinq vulnérabilités ont été corrigées dans Cisco TelePresence. Deux concernent des implémentations des protocoles TCP/IP ou Cisco Discovery Protocol (CDP) et peuvent être provoquées par des en-têtes spécialement conçus. L'interface Web est affectée par deux injections de commande à distance pouvant mener à une exécution de code arbitraire. Enfin un envoi de données spécialement conçues sur le port TCP 61460 peut mener à une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco 20120711-ctms du 11 juillet 2012 :
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120711-ctms
- Bulletin de sécurité Cisco 20120711-ctsman du 11 juillet 2012 :
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120711-ctsman
- Bulletin de sécurité Cisco 20120711-cts du 11 juillet 2012 :
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120711-cts
- Bulletin de sécurité Cisco 20120711-ctrs du 11 juillet 2012 :
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120711-ctrs
- Référence CVE CVE-2012-3076 :
https://www.cve.org/CVERecord?id=CVE-2012-3076
- Référence CVE CVE-2012-3075 :
https://www.cve.org/CVERecord?id=CVE-2012-3075
- Référence CVE CVE-2012-3074 :
https://www.cve.org/CVERecord?id=CVE-2012-3074
- Référence CVE CVE-2012-3073 :
https://www.cve.org/CVERecord?id=CVE-2012-3073
- Référence CVE CVE-2012-2486 :
https://www.cve.org/CVERecord?id=CVE-2012-2486