Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Cisco WebEx Business Suite version 27.11.26 (T27 L SP11 EP26) et antérieures.
- Cisco WebEx Business Suite version 27.21.10 (T27 LB SP21 EP10) et antérieures ;
- Cisco WebEx Business Suite version 27.25.9 (T27 LC SP25 EP9) et antérieures ;
- Cisco WebEx Business Suite version 27.32.0 (T27 LD SP32) et antérieures ;
Résumé
Trois vulnérabilités de type buffer overflow ont été corrigées dans le lecteur Cisco WebEx Recording Format (WRF).
Dans certains cas, l'exploitation de ces vulnérabilités permettent à un attaquant d'exécuter du code arbitraire à distance.
Solution
Plusieurs scénarios sont possibles concernant la mise à jour vers une version corrigée :
- si le lecteur WRF a été installé manuellement, il est nécessaire d'installer la nouvelle version manuellement après l'avoir téléchargée sur le site http://www.webex.com ;
- si le lecteur WRF a été installé automatiquement, la mise à jour vers la dernière version est automatique lorsqu'un utilisateur ouvre un fichier d'enregistrement hébergé sur un site WebEx meeting.
Se référer au bulletin de sécurité de l'éditeur pour de plus amples détails (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco 20120404-webex du 04 avril 2012 : http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120404-webex
- Référence CVE CVE-2012-1335 https://www.cve.org/CVERecord?id=CVE-2012-1335
- Référence CVE CVE-2012-1336 https://www.cve.org/CVERecord?id=CVE-2012-1336
- Référence CVE CVE-2012-1337 https://www.cve.org/CVERecord?id=CVE-2012-1337
