Érintett rendszerek
AvayaConverged Communications Server (CCS)
Intuity LX
Message Networking
Modular Messaging
SIP Enablement Services (SES)
Érintett verziók
Avaya Message Networking 2.x
Avaya Modular Messaging 2.x, 3.x
Avaya Converged Communications Server (CCS) 2.x, 3.x
Avaya Intuity LX
Avaya SIP Enablement Services (SES) 3.x
Összefoglaló
Az Avaya ismertette különböző termékeinek egy olyan sérülékenységét, melyet rosszindulatú emberek kiaknázhatnak szolgáltatás megtagadás (DoS) okozására, tetszőleges kód futtatására vagy feltörhetik a freetype könyvtárat használó alkalmazást.
Leírás
Az Avaya ismertette különböző termékeinek egy olyan sérülékenységét, melyet rosszindulatú emberek kiaknázhatnak szolgáltatás megtagadás (DoS) okozására vagy feltörhetik a freetype könyvtárat használó alkalmazást.
A sérülékenységet az okozza, ahogyan a FreeType feldolgozza a TTF fontokat.
Ha a felhasználó megnyit egy káros fájlt, akkor a támadó lefagyaszthatja a FreeType-ot használó alkalmazást, vagy tetszőleges kódot futtathat le.
Megoldás
Avaya Communication Manager:
Frissítse az Avaya Communication Manager-t a 3.1 vagy későbbi verziójára.
Avaya EMMC:
Frissítse az Avaya EMMC-ét a 1.021 vagy későbbi verziójára.
Avaya CCS/SES:
Frissítse az Avaya SES-t 3.1.1 vagy későbbi verziójára.
Avaya AES, Intuity LX, Message Networking, Messaging Storage Server: A forgalmazó ajánlja, hogy az érintett rendszerek helyi és hálózati hozzáférését korlátozza, amig a frissítés nem elérhető.
Támadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 25350
Gyártói referencia: support.avaya.com
CVE-2007-2754 - NVD CVE-2007-2754
SECUNIA 26305