int(3712)

Vulnerability Bulletins

Desbordamiento de buffer en Cisco Unified Communications Manager

Vulnerability classification
Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer Networking
Affected software Cisco Unified CallManager 4.0
Cisco Unified CallManager 4.1 < 4.1(3)SR5c
Cisco Unified Communications Manager 4.2 < 4.2(3)SR3
Cisco Unified Communications Manager 4.3 <4.3(1)SR1

Description
Se he encontrado una vulnerabilidad de tipo desbordamiento de búfer en Cisco Unified Communications Manager (CUCM). La vulnerabilidad reside en un error en la comprovación de límites en el Proveedor de servicio CTL (Certificate Trust List) CTLProvider.exe.

Un atacante remoto podría causar una denegación de servicio o ejecutar código arbitrario mediante el envío de un paquete especialmente diseñado al puerto 2444/TCP.

Solution


Actualización de software

Cisco
CUCM 4.0
Actualice a la versión 4.1 o superior
CUCM 4.1 / CUCM 4.1(3)SR5c
http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-41?psrtdcat20e2
CUCM 4.2 / CUCM 4.2(3)SR3
http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-42?psrtdcat20e2
CUCM 4.3 / CUCM 4.3(1)SR1
http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-43?psrtdcat20e2

Standar resources
Property Value
CVE CVE-2008-0027
BID

Other resources
Cisco Security Advisory (cisco-sa-20080116-cucmctl)
http://www.cisco.com/warp/public/707/cisco-sa-20080116-cucmctl.shtml

Version history
Version Comments Date
1.0 Aviso emitido 2008-01-17
Ministerio de Defensa
CNI
CCN
CCN-CERT