Множественные уязвимости в Cisco Unity

Дата публикации:
08.10.2008
Дата изменения:
09.10.2008
Всего просмотров:
2045
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-3814
CVE-2008-4543
CVE-2008-4544
CVE-2008-4545
CVE-2008-4542
Вектор эксплуатации:
Локальная сеть
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Раскрытие системных данных
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Cisco Unity 4.x
Cisco Unity 5.x
Cisco Unity 7.x
Уязвимые версии: Cisco Unity версии до 4.0ES161, 5.0ES53 и 7.0ES8

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности, получить доступ к важным данным и вызвать отказ в обслуживании.

1. Уязвимость существует из-за ошибки в процессе аутентификации в Web интерфейсе. Когда злоумышленник запрашивает первый раз конфигурационную страницу, приложение перенаправляет пользователя на страницу аутентификации. Последующий запрос к этой же страницы не будет перенаправлен и удаленный неавторизованный пользователь сможет просмотреть и изменить некоторые конфигурационные данные.

2. Уязвимость существует из-за ошибки при обработке сессий. Удаленный пользователь может занять все доступные сессии и вызвать отказ в обслуживании. Для удачной эксплуатации уязвимости приложение должно быть сконфигурировано для анонимной аутентификации (не является значением по умолчанию).

3. Уязвимость существует из-за небезопасных привилегий на доступ к "\CommServer\Reports". Пользователи домена могут получить доступ к некоторым важным данным.

URL производителя: www.cisco.com

Решение: Установите последнюю версию 4.0ES161, 5.0ES53 или 7.0ES8 с сайта производителя.

Журнал изменений:

09.10.2008
Изменены название, рейтинг опасности, секции «Описание» и «Решение», добавлены подробности от VoIPshield Systems.

Ссылки: Cisco Security Advisory: Authentication Bypass in Cisco Unity
http://www.cisco.com/warp/public/707/cisco-sr-20081008-unity.shtml
http://www.voipshield.com/research-details.php?id=126&s=1&threats_details=&threats_category=0&threats_vendor=0&limit=20&sort=discovered&sortby=DESC
http://www.voipshield.com/research-details.php?id=128&s=1&threats_details=&threats_category=0&threats_vendor=0&limit=20&sort=discovered&sortby=DESC
http://www.voipshield.com/research-details.php?id=130&s=1&threats_details=&threats_category=0&threats_vendor=0&limit=20&sort=discovered&sortby=DESC

или введите имя

CAPTCHA