Risques

  • Déni de service à distance
  • Élévation de privilèges

Systèmes affectés

  • Cisco Call Manager version 3.2 et versions antérieures ;
  • Cisco Call Manager version 3.3 et versions antérieures à la 3.3(5)SR1a ;
  • Cisco Call Manager version 4.0 et versions antérieures à la 4.0(2a)SR2c ;
  • Cisco Call Manager version 4.1 et versions antérieures à la 4.1(3)SR2;

Résumé

Trois vulnérabilités ont été identifiées dans le Cisco Call Manager. L'exploitation réussie d'une de ces deux vulnérabilités permet de réaliser un déni de service à distance ou une élévation de privilège en local.

Description

Trois vulnérabilités ont été découvertes dans le logiciel Cisco Call Manager :

  • La première résulte d'une erreur au niveau de la gestion des connections à destination du port 2000/TCP. Elle peut être exploitée par un utilisateur mal intentionné afin d'utiliser la mémoire de manière abusive et donc provoquer un déni de service.
  • La deuxième résulte d'une erreur dans la gestion des connexions à destination des ports 2001/TCP, 2002/TCP et 7727/TCP. Cette vulnérabilité peut être exploitée par des utilisateurs mal intentionnés afin de provoquer le redémarrage de l'équipement vulnérable.
  • La troisième résulte d'une erreur présente au niveau de l'interface CCMAdmin et peut être exploitée par un utilisateur mal intentionné dans le but d'élever ses privilèges (obtention du droit de création, suppression, modification de la configuration des périphériques).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation