Ejecución de código en Cisco Unified Communications Manager

Cisco ha dado a conocer una vulnerabilidad en Cisco Unified Communications Manager que podría permitir a un atacante ejecutar código arbitrario.

El fallo se debe a un desbordamiento de memoria intermedia basado en heap en el servicio Certificate Trust List (CTL) Provider. Un usuario remoto no autenticado podría provocar una denegación de servicio o ejecutar código arbitrario si envía paquetes especialmente manipulados. El puerto usado por el servicio es el 2444 por defecto.

Los sistemas afectados son:
Cisco Unified CallManager 4.0
Cisco Unified CallManager 4.1 Versiones anteriores a 4.1(3)SR5c
Cisco Unified Communications Manager 4.2 Versiones anteriores a
4.2(3)SR3
Cisco Unified Communications Manager 4.3 Versiones anteriores a
4.3(1)SR1

Cisco, a través de los canales habituales, ha puesto a disposición de
sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y
contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080932c61.shtml

Más información:

Cisco Security Advisory: Cisco Unified Communications Manager CTL Provider Heap Overflow
http://www.cisco.com/en/US/products/products_security_advisory09186a0080932c61.shtml

Acerca de Hispasec

Hispasec Ha escrito 6985 publicaciones.

• View all posts by Hispasec →
• Blog