Risque

  • Atteinte à la confidentialité des données

Systèmes affectés

Toutes les versions des produits cités ci-dessous sont affectées :

  • Avaya CMS Supervisor ;
  • Avaya Conversant / Interactive Voice Response ;
  • Avaya Interactive Response 1.x ;
  • Avaya IP Agent 4.x ;
  • Avaya IP Office 2.x ;
  • IP Softphone 5.x ;
  • Softconsole 1.x.

Résumé

De nombreux produits Avaya sont vulnérables à des attaques pouvant permettre à un utilisateur mal intentionné de porter atteinte à la confidentialité des données présentes sur le système vulnérable.

Description

La vulnérabilité est causée par des sauvegardes d'informations sensibles non sécurisées permettant à une personne malveillante ayant un accès local au système de porter atteinte à la confidentialité des données présentes sur le système.

Solution

L'éditeur recommande pour tous les produits affectés de :

  • limiter l'accès au système et aux clés de registre.

Concernant les produits Avaya suivant :

  • IP Softphone ;
  • IP Agent ;
  • IP Softconsole.

l'éditeur Avaya recommande de :

  • ne pas utiliser l'option "Se souvenir du mot de passe pour les prochaines sessions"

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documention).

Documentation