SGDSN AVIS DU CERTA Gestion du document 1 Risque 2
Transcription
SGDSN AVIS DU CERTA Gestion du document 1 Risque 2
PREMIER MINISTRE S.G.D.S.N Paris, le 10 juin 2010 No CERTA-2010-AVI-256 Agence nationale de la sécurité des systèmes d’information CERTA Affaire suivie par : CERTA AVIS DU CERTA Objet : Vulnérabilités dans Cisco Unified Contact Center Express Conditions d’utilisation de ce document : Dernière version de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-256 Gestion du document Référence Titre Date de la première version Date de la dernière version Source(s) Pièce(s) jointe(s) CERTA-2010-AVI-256 Vulnérabilités dans Cisco Unified Contact Center Express 10 juin 2010 – Bulletin de sécurité Cisco 20100609-uccx du 09 juin 2010 Aucune TAB . 1 – Gestion du document Une gestion de version détaillée se trouve à la fin de ce document. 1 Risque – Déni de service à distance ; – atteinte à la confidentialité des données. 2 Systèmes affectés – Cisco UCCX 5.x, 6.x et 7.x ; – Cisco Customer Response Solution (CRS) 5.x, 6.x et 7.x ; – Cisco Unified IP Interactive Voice Response (Cisco Unified IP IVR) 5.x, 6.x et 7.x. 3 Résumé Deux vulnérabilités découvertes dans Cisco Unified Contact Center Express permettent à un utilisateur distant de provoquer un déni de service ou de porter atteinte à la confidentialité des données. Secrétariat général de la défense et de la sécurité nationale – ANSSI – COSSI – CERTA 51, bd de La Tour-Maubourg Tél.: 01 71 75 84 50 Web: http://www.certa.ssi.gouv.fr 75700 Paris 07 SP Fax: 01 71 75 84 70 Mél : [email protected] 4 Description Une vulnérabilité causée par une erreur de traitement dans le composant Computer Telephony Integration peut être exploitée afin de provoquer un déni de service au moyen d’un message spécialement formé (CVE-2010-1570). Une vulnérabilité de type “traversée d’arborescence de répertoires” dans le service bootstrap de Cisco UCCX permet à un utilisateur distant malintentionné de porter atteinte à la confidentialité des données (CVE-2010-1571). 5 Solution Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation). 6 Documentation – Bulletin de sécurité Cisco 20100609-uccx du 09 juin 2010 : http://www.cisco.com/warp/public/707/cisco-sa-20100609-uccx.shtml – Référence CVE CVE-2010-1570 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1570 – Référence CVE CVE-2010-1571 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1571 Gestion détaillée du document 10 juin 2010 version initiale. 2