Множественные уязвимости в Cisco Unity

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности, получить доступ к важным данным и вызвать отказ в обслуживании.

1. Уязвимость существует из-за ошибки в процессе аутентификации в Web интерфейсе. Когда злоумышленник запрашивает первый раз конфигурационную страницу, приложение перенаправляет пользователя на страницу аутентификации. Последующий запрос к этой же страницы не будет перенаправлен и удаленный неавторизованный пользователь сможет просмотреть и изменить некоторые конфигурационные данные.

2. Уязвимость существует из-за ошибки при обработке сессий. Удаленный пользователь может занять все доступные сессии и вызвать отказ в обслуживании. Для удачной эксплуатации уязвимости приложение должно быть сконфигурировано для анонимной аутентификации (не является значением по умолчанию).

3. Уязвимость существует из-за небезопасных привилегий на доступ к "\CommServer\Reports". Пользователи домена могут получить доступ к некоторым важным данным.

URL производителя: www.cisco.com

Решение: Установите последнюю версию 4.0ES161, 5.0ES53 или 7.0ES8 с сайта производителя.

Журнал изменений:

09.10.2008
Изменены название, рейтинг опасности, секции «Описание» и «Решение», добавлены подробности от VoIPshield Systems.