Risques
- Déni de service à distance
- Élévation de privilèges
Systèmes affectés
- Cisco Unity Connection versions 7.1 et antérieures ;
- Cisco Unity Connection versions 8.0, 8.5 et 8.6.
Résumé
De multiples vulnérabilités dans Cisco Unity Connection permettent de réaliser un déni de service à distance et une élévation de privilèges.
Description
De multiples vulnérabilités ont été découvertes dans Cisco Unity Connection :
- un utilisateur authentifié disposant de droits Help Desk Administrator peut élever ses privilèges et obtenir un accès complet au système. Seules les versions 7.1 et antérieures de Cisco Unity Connection sont concernées (CVE-2012-0366) ;
- en envoyant une séquence spécifique de segments TCP, un attaquant distant peut provoquer l'arrêt inopiné de services du système (CVE-2012-0367).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco 20120229-cuc du 29 février 2012 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120229-cuc
- Référence CVE CVE-2012-0366 https://www.cve.org/CVERecord?id=CVE-2012-0366
- Référence CVE CVE-2012-0367 https://www.cve.org/CVERecord?id=CVE-2012-0367
