UCM : 4 failles sérieuses corrigées par Cisco
Plusieurs versions de la solution Unified CM de Cisco contiennent des failles pouvant permettre à un attaquant distant non authentifié de créer les conditions d'un déni de service (DoS).
Cisco Systems a livré des corrections pour plusieurs versions de sa solution Unified Communications Manager (UCM) qui gère les communications IP. Des failles pourraient permettre des attaques à distance pour exécuter des commandes, modifier des données du système ou perturber les services. UCM est la composante qui gère les appels au sein de la solution de téléphonie sur IP de Cisco (connexion de téléphones IP, passerelles VoIP, applications multimedias) et fournit différents services (gestion des sessions, voix, vidéo, conférence web, mobilité, messages).
La faille la plus sérieuse que vient corriger le patch (risque de saturation de la mémoire tampon, buffer overflow) est identifié sous le nom CVE-2013-3462 dans la base Common Vulnerabilities and Exposure. Elle peut être exploitée à distance, mais requiert une authentification. « Un attaquant pourrait exploiter cette vulnérabilité en écrasant une mémoire tampon allouée sur un périphérique », a expliqué Cisco dans une alerte de sécurité. Cette vulnérabilité touche les versions 7.1(x), 8.5(x), 8.6(x), 9.0(x) and 9.1(x) d'UCM.
Le fournisseur a aussi corrigé trois failles qui pourraient créer les conditions d'une attaque en déni de service (DoS). Celles-ci peuvent être exploitées à distance sans authentification. L'une d'elles, CVE-2013-3459, n'affecte que les versions 7.1. La deuxième, CVE-2013-3460, touche les versions 8.5, 8.6 et 9.0 d'UCM. De même que la troisième, CVE-2013-3461.