S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 mars 2007
N° CERTA-2007-AVI-141
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans les téléphones CISCO 7940/7960

Gestion du document

Référence CERTA-2007-AVI-141
Titre Vulnérabilité dans les téléphones CISCO 7940/7960
Date de la première version 27 mars 2007
Date de la dernière version 27 mars 2007
Source(s) Bulletin de sécurité CISCO ID 87392 du 20 mars 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service à distance

Systèmes affectés

  • CISCO IP Phone 7940/7960 exécutant le micrologiciel 7.4.

Résumé

Une vulnérabilité présente dans les téléphones IP CISCO 7940 et 7960 permet à un individu de réaliser un déni de service à distance.

Description

Un manque de vérification du champ sipURI au moment de l'envoi d'un message INVITE permettrait à un individu malintentionné de faire redémarrer l'équipement à distance par le biais d'un message INVITE spécialement conçu.

Solution

La version 8.6 du micrologiciel corrige le problème. La dernière version du micrologiciel pour les téléphones IP CISCO 7940 et 7960 est téléchargeable à l'adresse suivante :

http://www.cisco.com/pcgi-bin/tablebuild.pl/sip-ip-phone7960?psrtdcat20e2

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 27 mars 2007
    version initiale.