Risque
- Contournement de la politique de sécurité
Systèmes affectés
- Cisco Unified CallManager versions 4.1 ;
- Cisco Unified Communications Manager versions 4.2 antérieures à 4.2(3)SR4b ;
- Cisco Unified Communications Manager versions 4.3 antérieures à 4.3(2)SR1b ;
- Cisco Unified Communications Manager versions 5.x antérieures à 5.1(3e) ;
- Cisco Unified Communications Manager versions 6.x antérieures à 6.1(3) ;
- Cisco Unified Communications Manager versions 7.0 antérieures à 7.0(2).
Résumé
Une vulnérabilité dans Cisco Unified Communications Manager permet d'accéder à un compte d'administration de l'application.
Description
Une vulnérabilité a été découverte dans le mécanisme de synchronisation des carnets d'adresses (Personal Address Book - PAB) dans Cisco Unified Communications Manager (autrefois appelé CallManager). Lorsqu'un client de synchronisation PAB s'authentifie auprès d'un serveur Cisco Unified Communications Manager (via une connexion HTTPS), des identifiants d'un compte d'administration sont renvoyés « en clair ». Un attaquant peut intercepter ces identifiants.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco 20090311-cucmpab du 11 mars 2009 : http://www.cisco.com/warp/public/707/cisco-sa-20090311-cucmpab.shtml
- Référence CVE CVE-2009-0632 https://www.cve.org/CVERecord?id=CVE-2009-0632
