Risque

  • Déni de service à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Avaya Communication Manager, pour les versions CM 3.x et 4.x ;
  • Avaya Intuity Audix LX, version IALX 2.0 ;
  • Avaya Messaging Storage Server, pour les versions MSS 3.x ;
  • Avaya Message Networking, version MN 3.1 ;
  • Avaya CCS/SES, pour les versions SES 3.x et 4.0 ;
  • Avaya AES, version 4.0.

Résumé

Une vulnérabilité a été identifiée dans le serveur web inclus dans plusieurs produits Avaya. Celle-ci peut être exploitée à distance pour perturber le fonctionnement du service.

Description

Une vulnérabilité a été identifiée dans le serveur web inclus dans plusieurs produits Avaya. Il s'agit de la version d'Apache avec le module mod_proxy configurée en mode reverse proxy. Cette vulnérabilité est identique à celle mentionnée dans l'avis CERTA-2007-AVI-402 du 13 septembre 2007.

Une personne malintentionnée peut provoquer un déni de service du serveur suite à une requête construite de manière particulière.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation