Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidad en teléfonos VoIP de Cisco, serie 7900. |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de privilegios |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso fisico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Networking |
| Software afectado |
Cisco Unified IP Phone modelos: 7975G 7971G-GE 7970G 7965G 7962G 7961G 7961G-GE 7945G 7942G 7941G 7941G-GE 7931G 7911G 7906 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad de aumento de privilegios en teléfonos VoIP de Cisco, serie 7900. La vulnerabilidad se produce porque el sistema de llamadas realizadas al núcleo del dispositivo no están debidamente verificadas. Un atacante local podría obtener acceso a privilegios no autorizados, como convertirse en root, tomar el control de la DSP (Digital Signal Processor), los botones y LEDs en el teléfono. Un atacante físicamente próximo (por ejemplo, a través de un dispositivo hecho a medida y conectado al puerto Ethernet) o un atacante con acceso a nivel de usuario (por ejemplo, a través de SSH) puede sobrescribir de forma malintencionada partes del espacio de memoria del kernel o del usuario, así como ejecutar código arbitrario. Cisco ha etiquetado la vulnerabilidad con el identificador CSCuc83860. |
|
Solución |
|
|
El fabricante ha lanzado un parche para corregir esta vulnerabilidad. Además, es posible mitigar este problema temporalmente al restringir el acceso físico al dispositivo, así como la restricción del acceso a SSH y acceso CLI. Cisco no da soporte a los modelos 7971G-GE, 7970G, 7961G, 7961G-GE, 7941G, 7941G-GE, 7906 y por lo tanto no tiene ningún parche o actualización que mitigue este problema. Se recomienda que se use un dispositivo alternativo en su lugar. |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
| BID | |
Recursos adicionales |
|
|
CISCO - Vulnerabilidad CSCuc83860 http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCuc83860 OSVDB - 88395 : Cisco Unified IP Phone 7900 Series Unspecified Software Injection Privilege Escalation http://www.osvdb.org/show/osvdb/88395 |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-12-20 |