Risques
- Contournement de la politique de sécurité
- Déni de service à distance
Systèmes affectés
- Avaya AES, version 4.0.
- Avaya CCS/SES, pour les versions SES 3.x et 4.0 ;
- Avaya Communication Manager, pour les versions CM 3.x et 4.x ;
- Avaya Intuity Audix LX, version IALX 2.0 ;
- Avaya Message Networking, version MN 3.1 ;
- Avaya Messaging Storage Server, pour les versions MSS 3.x ;
Résumé
Une vulnérabilité a été identifiée dans le serveur web inclus dans plusieurs produits Avaya. Celle-ci peut être exploitée à distance pour perturber le fonctionnement du service.
Description
Une vulnérabilité a été identifiée dans le serveur web inclus dans plusieurs produits Avaya. Il s'agit de la version d'Apache avec le module mod_proxy configurée en mode reverse proxy. Cette vulnérabilité est identique à celle mentionnée dans l'avis CERTA-2007-AVI-402 du 13 septembre 2007.
Une personne malintentionnée peut provoquer un déni de service du serveur suite à une requête construite de manière particulière.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis de sécurité Avaya ASA-2007-500 du 06 décembre 2007 : http://support.avaya.com/elmodocs2/security/ASA-2007-500.htm
- Avis de sécurité CERTA-2007-AVI-402 du 13 septembre 2007 : http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-402/
- Référence CVE CVE-2007-3847 https://www.cve.org/CVERecord?id=CVE-2007-3847
