Поделиться
Обнаружена уязвимость в Cisco Call Manager: выполнение кода
Cisco сообщила об уязвимости в Unified Communications Manager, также известном как Call Manager – ПО, управляющее звонками в продуктах IP-телефонии Cisco. Уязвимость позволяет удаленно выполнить произвольный код или совершить DoS-атаку. Для эксплуатации ошибки в ПО не требуется аутентификации.
Уязвимость находится в сервисе Certificate Trust List Provider Service (CTLProvider.exe), который идентифицирует и распределяет сертификаты. Он, как правило, производит связь по TCP-порту 2444 через протокол SSL. Из-за ошибки в обработке данных можно вызвать переполнение области памяти, выделяемой приложению, и выполнить произвольный код. Никаких конкретных деталей уязвимости предоставлено не было, пишет Heise Security.
Обнаруженная проблема затрагивает версии Unified Communication Manager с 4.2 по 4.2(3)SR3 и версии с 4.3 по 4.3(1)SR1, также известную как Unified Call Manager 4.0 и с 4.1 по 4.1(3)SR5c. Cisco в своем разделе безопасности приводит ссылки на обновления программного обеспечения. Для Unified Call Manager 4.0 обновления нет, поэтому рекомендуют скачать версию 4.1. Администраторам рекомендуется обновить ПО как можно скорее.
Поделиться
Короткая ссылка
