26. 08. 2013

Aplikace Cisco Unified Communications Manager (Unified CM) rozšiřuje funkce řešení Cisco IP podnikové telefonie. Obsluhuje přesměrování hovorů, hlasovou poštu, interkom, audiokonference, mobilní komunikace, nebo komunikaci prostřednictvím videa.

Charakteristika zranitelnosti

Unified CM obsahuje několik chyb zabezpečení, které by mohly neověřenému vzdálenému útočníkovi dovolit upravovat systémová data, spouštět libovolné příkazy, nebo způsobit stav odmítnutí služby (DoS), případně způsobit přetečení vyrovnávací paměti (buffer overflow) v postiženém systému.

Postižené systémy

  • Cisco Unified Communications Manager 7.1(x)
  • Cisco Unified Communications Manager 8.5(x)
  • Cisco Unified Communications Manager 8.6(x)
  • Cisco Unified Communications Manager 9.0(x)
  • Cisco Unified Communications Manager 9.1(x)

Dopad zranitelnosti

Zneužití by mohlo umožnit útočníkovi uvést postižený systém do stavu DoS, poškodit na něm data, narušit spuštěné služby nebo spustit libovolný kód.

Řešení

Aktualizovat dotčené systémy bezpečnostními záplatami vydanými Cisco, které řeší výše popsané chyby zabezpečení - Cisco Homepage, Cisco Unified Communications Manager.

CVE

CVE-2013-3459, CVE-2013-3460, CVE-2013-3461, CVE-2013-3462.

Odkazy

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130821-cucm
http://seclists.org/fulldisclosure/2013/Aug/221