Cisco ha publicado una actualización para Cisco Unified Communications Manager (versiones 4.x, 5.x, 6.x y 7.x) que corrige una vulnerabilidad en la característica de sincronización de IP Phone Personal Address Book (PAB), que podría permitir a un atacante remoto escalar privilegios, lo que podría dar lugar al compromiso de los sistemas vulnerables.
La solución Unified Communications de Cisco es un conjunto de productos
y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos.
El fallo podría ser aprovechado si un atacante intercepta las credenciales enviadas al cliente desde Cisco Unified Communications Manager después de que se haya autenticado para el proceso de sincronización.
Cisco, a través de los canales habituales, ha puesto a disposición de
sus clientes soluciones para solventar el problema.
Se aconseja consultar la tabla de versiones vulnerables y
contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20090311-cucmpab.shtml
laboratorio@hispasec.com
Más información:
Cisco Security Advisory: Cisco Unified Communications Manager IP Phone Personal Address Book Synchronizer Privilege Escalation Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090311-cucmpab.shtml
