Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
Systèmes affectés
- Cisco Video Surveillance 2500 Series IP Camera firmware, versions antérieures à la version 2.1.
- Cisco Video Surveillance Stream Manager for the Cisco Video Surveillance Integrated Services Platform, versions antérieures à la version 5.3 ;
- Cisco Video Surveillance Stream Manager for the Cisco Video Surveillance Services Platform, versions antérieures à la version 5.3 ;
Résumé
Des vulnérabilités affectent des produits de vidéosurveillance Cisco et permettent à un utilisateur malveillant de provoquer un déni de service à distance ou de lire indûment des informations.
Description
Une vulnérabilité est présente dans Cisco Video Surveillance Stream Manager (CVE-2009-2045). Un utilisateur malveillant peut provoquer un redémarrage du système par le biais d'un paquet UDP particulier sur le port 37000.
Une vulnérabilité affecte les caméras IP de la série 2500, avec ou sans fil (CVE-2009-2046). Un utilisateur authentifié peut lire tout fichier présent sur la caméra au travers du serveur web embarqué, via le port 80 (HTTP) ou le port 443 (HTTPS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco 20090624-video du 24 juin 2009 : http://www.cisco.com/warp/public/707/cisco-sa-20090624-video.shtml
- Référence CVE CVE-2009-2045 https://www.cve.org/CVERecord?id=CVE-2009-2045
- Référence CVE CVE-2009-2046 https://www.cve.org/CVERecord?id=CVE-2009-2046
