Risques

  • Contournement de la politique de sécurité
  • Déni de service à distance

Systèmes affectés

  • Alcatel-Lucent OmniPCX Enterprise R6.0 ainsi que les versions précédentes.
  • Alcatel-Lucent OmniPCX Enterprise R6.1 ;
  • Alcatel-Lucent OmniPCX Enterprise R6.2 ;
  • Alcatel-Lucent OmniPCX Enterprise R7.0 ;
  • Alcatel-Lucent OmniPCX Enterprise R7.1 ;

Résumé

Une vulnérabilité a été identifiée dans les passerelles de téléphonie (PABX ou Private Automatic Branch Exchange) Alcatel-Lucent OmniPCX Enterprise. Elle permettrait à une personne malveillante pouvant correspondre avec ce système de détourner les flux audio à destination d'un poste. Cette attaque peut également servir pour se mettre en entredeux (man-in-the-middle) d'une conversation.

Description

Une vulnérabilité a été identifiée dans les passerelles de téléphonie (PABX ou Private Automatic Branch Exchange) Alcatel-Lucent OmniPCX Enterprise.

Une personne malveillante pourrait forger une requête TFTP particulière en usurpant l'identité (adresse MAC) d'un poste terminal. L'interprétation de cette trame impliquerait au PABX de router certains flux audio destinés initalement au terminal vers le poste malveillant.

Cette attaque peut également servir pour se mettre en entredeux (man-in-the-middle) d'une conversation.

Solution

Se référer au bulletin de sécurité de l'éditeur Alcatel-Lucent pour l'obtention des correctifs (cf. section Documentation).

Documentation