Objet: Multiples vulnérabilités dans Cisco IP Phone

Risques

• Atteinte à l'intégrité des données
• Contournement de la politique de sécurité
• Déni de service à distance
• Exécution de code arbitraire à distance
• Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

• Cisco IP Phone 7800 et 8800 exécutant une version logicielle de SIP avec la fonctionnalité web service active antérieure à 10.3(1)SR5 pour Unified IP Conference Phone 8831, 11.0(4)SR3 pour Wireless IP Phone 8821 et 8821-EX et 12.5(1)SR1 pour le restes des IP Phone 7800 et 8800
• Cisco IP Phone exécutant une version logicielle de SIP antérieure à 11.0(5) pour Wireless IP Phone 8821-EX et 12.5(1)SR1 pour la série IP Phone 8800

Documentation

• Bulletin de sécurité Cisco cisco-sa-20190320-ip-phone-csrf du 20 mars 2019
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-csrf
• Bulletin de sécurité Cisco cisco-sa-20190320-ip-phone-rce du 20 mars 2019
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce
• Bulletin de sécurité Cisco cisco-sa-20190320-ipab du 20 mars 2019
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipab
• Bulletin de sécurité Cisco cisco-sa-20190320-ipfudos du 20 mars 2019
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipfudos
• Bulletin de sécurité Cisco cisco-sa-20190320-ipptv du 20 mars 2019
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipptv
• Référence CVE CVE-2019-1716
https://www.cve.org/CVERecord?id=CVE-2019-1716
• Référence CVE CVE-2019-1763
https://www.cve.org/CVERecord?id=CVE-2019-1763
• Référence CVE CVE-2019-1764
https://www.cve.org/CVERecord?id=CVE-2019-1764
• Référence CVE CVE-2019-1765
https://www.cve.org/CVERecord?id=CVE-2019-1765
• Référence CVE CVE-2019-1766
https://www.cve.org/CVERecord?id=CVE-2019-1766