CH azonosító
CH-7865Angol cím
Cisco Unified MeetingPlace Web Conferencing SQL Injection and Denial of Service VulnerabilitiesFelfedezés dátuma
2012.10.31.Súlyosság
AlacsonyÉrintett rendszerek
CISCOUnified MeetingPlace
Érintett verziók
Cisco Unified MeetingPlace 7.x
Cisco Unified MeetingPlace 8.x
Összefoglaló
A Cisco Unified MeetingPlace olyan sérülékenységei váltak ismertté, amelyeket kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat tudnak végrehajtani és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
- Egyes bemeneti adatok nincsenek megfelelően megtisztítva az SQL lekérdezésekben történő használat előtt. Erről a sérülékenységről további információt az alábbi publikáció 2-es pontjában található:
CERT-Hungary CH-6822 - Egy bemeneti adat érvényesítési hiba a Web Conferencing komponensben puffer túlcsordulás előidézésével kihasználható a szolgáltatás válaszképtelenné tételére speciálisan erre a célra elkészített HTTP POST kérésekkel.
A sérülékenységek a 7.0, 7.0, 7.1, 8.0 és 8.5 előtti verziókban találhatóak.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Deny of service (Szolgáltatás megtagadás)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: tools.cisco.com
SECUNIA 51103
CVE-2012-0337 - NVD CVE-2012-0337
CVE-2012-5416 - NVD CVE-2012-5416
CERT-Hungary CH-6822
