S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 02 juillet 2004
N° CERTA-2004-AVI-218
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Cisco Collaboration Server

Gestion du document

Référence CERTA-2004-AVI-218
Titre Vulnérabilité dans Cisco Collaboration Server
Date de la première version02 juillet 2004
Date de la dernière version02 juillet 2004
Source(s) Bulletin de sécurité SA-20040630 de CISCO
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Élévation de privilèges

Systèmes affectés

  • Cisco Collaboration Server 3.x avec ServletExec 2.2 ;
  • Cisco Collaboration Server 4.x avec ServletExec 3.0 ;
  • Cisco Collaboration Server 5.x avec ServletExec 4.1.

Résumé

Une vulnérabilité a été découverte dans Cisco Collaboration Server installé avec ServletExec permettant à un individu mal intentionné d'installer des fichiers sur le système vulnérable et d'élever ses privilèges.

Description

Cisco Collaboration Server (CCS) est une solution de travail collaboratif pouvant être intégrée à des architectures de commerce électronique ou de service client.

CCS utilise la servlet Java ServletExec maintenue par la société New Atlanta.

Une vulnérabilité présente dans ServletExec permet de télécharger des fichiers sur le serveur Web et de les exécuter afin d'élever ses privilèges.

Solution

  • Appliquer les correctifs à l'aide du script fourni par Cisco pour CSS 4.x :

    http://www.cisco.com/pcgi-bin/tablebuild.pl/ccs40

  • mettre à jour CCS avec la version 5.x (cf. Documentation) ;

  • correctifs pour ServletExec de New Altanta :

    ftp://ftp.newatlanta.com/public/servletexec/

Documentation

Gestion détaillée du document

    le 02 juillet 2004
    version initiale.