Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Téléphonie sur IP : de la friture sur la ligne chez Cisco

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Téléphonie sur IP : de la friture sur la ligne chez Cisco

Cisco annonce la découverte d’une série de vulnérabilités dans son logiciel de gestion des appels sur IP. La plus sérieuse d’entre elles pourrait permettre la redirection d’appels ou l’écoute des conversations téléphoniques. Les correctifs nécessaires sont disponibles.


Au coeur de l’architecture de téléphonie sur IP vendue par Cisco se trouve le logiciel CallManager. Le fabriquant annonce aujourd’hui la découverte de plusieurs vunlérabilités dans ce « central » numérique. Toutes ont en commun une mauvaise gestion de la mémoire par le logiciel CallManager ou des processus qui lui sont liés sous Windows (mémoire mal libérée, allocation erronée, fuite, etc). Ces défauts permettent alors notamment de faire « gonfler » artificiellement l’occupation de la mémoire et de provoquer ainsi un déni de service. L’attaque ne peut cependant être réalisée qu’une fois sur le réseau, ce qui en limite la portée.Mais l’une de ces vulnérabilités (CSCsa75554 selon la dénomination Cisco) pourrait permettre, elle, d’exécuter du code sur la machine. Cela permettrait alors de jouer des tours beaucoup plus sérieux sur le réseau, tels que l’écoute des conversations, leur enregistrement, la redirection des appels ou leur surveillance. La faille implique le processus aupair.exe, chargé de faire l’interface entre le CallManager et une base de données SQL.Cisco a publié une alerte et les correctifs nécessaires sur son site. Il est cependant nécessaire de s’enregistrer auprès du fabricant pour avoir accès au détail de chaque vulnérabilité.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.