Érintett rendszerek
CISCOUnified CallManager
Unified Communications Manager
Érintett verziók
CISCO Unified Communications Manager 4.x, 5.x, 6.x, 7.x
CISCO Unified CallManager 4.x, 5.x
Összefoglaló
Sérülékenységet jelentettek a Cisco Unified Communications Manager szoftverében, amelyet kihasználva a rosszindulatú felhasználók bizalmas információkhoz férhetnek hozzá.
Leírás
Sérülékenységet jelentettek a Cisco Unified Communications Manager szoftverében, amelyet kihasználva a rosszindulatú felhasználók bizalmas információkhoz férhetnek hozzá.
A sérülékenységet a Cisco IP Phone Personal Address Book (PAB) szinkronizációs szolgáltatásának tervezési hibája okozza. A probléma forrása, hogy az IP Phone PAB Synchronizer kliens sikeres azonosítása után, a Cisco Unified Communications Manager egyszerű, szöveges formában továbbítja a címtár szolgáltatás hozzáféréséhez szükséges adatokat. Ez kihasználható a címtár szolgáltatás eléréséhez és adminisztrátori jogosultságok szerzéséhez.
A sérülékenységet a következő termékekben és verziókban jelentették:
- Cisco Unified CallManager 4.1 verziók
- Cisco Unified Communications Manager 4.2 (4.2(3)SR4b előtti verziók)
- Cisco Unified Communications Manager 4.3 (4.3(2)SR1b előtti verziók)
- Cisco Unified Communications Manager 5.x (5.1(3e) előtti verziók)
- Cisco Unified Communications Manager 6.x (6.1(3) előtti verziók)
- Cisco Unified Communications Manager 7.0 (7.0(2) előtti verziók)
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Crypthographical (Titkosítás)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.cisco.com
Gyártói referencia: www.cisco.com
SECUNIA 34238
CVE-2009-0632 - NVD CVE-2009-0632