VULNERABILIDADES

Ejecución de código en Cisco Unified Communications Manager



Cisco ha dado a conocer una vulnerabilidad en Cisco Unified Communications Manager que podría permitir a un atacante ejecutar código arbitrario.

El fallo se debe a un desbordamiento de memoria intermedia basado en heap en el servicio Certificate Trust List (CTL) Provider. Un usuario remoto no autenticado podría provocar una denegación de servicio o ejecutar código arbitrario si envía paquetes especialmente manipulados. El puerto usado por el servicio es el 2444 por defecto.

Los sistemas afectados son:
Cisco Unified CallManager 4.0
Cisco Unified CallManager 4.1 Versiones anteriores a 4.1(3)SR5c
Cisco Unified Communications Manager 4.2 Versiones anteriores a 4.2(3)SR3
Cisco Unified Communications Manager 4.3 Versiones anteriores a 4.3(1)SR1


Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.
Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/...080932c61.shtm

Fuente