int(3918)

Boletines de Vulnerabilidades


Ejecución de comandos en Cisco Unified Communications Disaster Recovery Framework

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Compromiso Root
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Networking
Software afectado Cisco Unified Communications Manager 5.x
Cisco Unified Communications Manager 6.x
Cisco Unified Communications Manager Business Edition
Cisco Unified Precense 1.x
Cisco Unified Precense 6.x
Cisco Emergency Responder 2.x
Cisco Mobility Manager 2.x

Descripción

Se ha descubierto una vulnerabilidad en Cisco Unified Communications Manager 5.x, 6.x y Business Edition, Cisco Unified Precense 1.x y 6.x, Cisco Emergency Responder 2.x, y Cisco Mobility Manager 2.x. La vulnerabilidad reside en un error de diseño en el servidor Master Disaster Recovery Framework (DRF) al no pedir autenticación cuando se realizan peticiones desde la red.

Un atacante remoto podría causar una denegación de servicio, obtener información sensible, sobreescribir parámetros de configuración o ejecutar comandos arbitrarios con privilegios de administrador mediante el envío de una petición especialmente diseñada al puerto TCP/4040.

Solución



Actualización de software

Cisco
Cisco Unified Communications Manager 5.x, 6.x y Business Edition / patch ciscocm.CSCso53771.security.patch.cop
Cisco Unified Precense 1.x y 6.x / patch ciscocm.CSCso53771.security.patch.cop
Cisco Emergency Responder 2.x / patch ciscocm.CSCso53771.security.patch.cop
Cisco Mobility Manager 2.x / patch ciscocm.CSCso53771.security.patch.cop
http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-utilpage?psrtdcat20e2

Identificadores estándar

Propiedad Valor
CVE CVE-2008-1154
BID 28591

Recursos adicionales

Cisco Security Advisory (cisco-sa-20080403-drf)
http://www.cisco.com/warp/public/707/cisco-sa-20080403-drf.shtml

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2008-04-11

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT