CERT-FI haavoittuvuustiedote 093/2010

10.6.2010

Haavoittuvuuksia Cisco Unified Contact Center Express -ohjelmistossa

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Cisco Cisco Unified Contact Center Express (UCCX) -ohjelmistosta on löytynyt kaksi haavoittuvuutta. Toinen haavoittuvuuksista liittyy UCCX-ohjelmistojen CTI-komponenttiin ja antaa hyökkääjälle mahdollisuuden suorittaa haavoittuvassa järjestelmässä palvelunestohyökkäys. Järjestelmä on alttiina edellä mainitulle haavoittuvuudelle vain jos CTI-palvelu on käynnissä. Toinen haavoittuvuus voi johtaa UCCX-ohjelmistoa suorittavan laitteen tiedostojärjestelmän sisällön paljastumiseen. Molempien haavoittuvuuksien CVVS-peruspistemäärä on 7.8. Haavoittuvuuksia voi hyväksikäyttää etäkäyttöisesti.

HAAVOITTUVAT OHJELMISTOT:

• Cisco UCCX versiot 5.x, 6.x ja 7.x
  
• Cisco Customer Response Solution (CRS) versiot 5.x, 6.x ja 7.x
  
• Cisco Unified IP Interactive Voice Response (Cisco Unified IP IVR) versiot 5.x, 6.x ja 7.x

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Valmistaja on julkaissut haavoittuvuuksiin korjaavat päivitykset. Palvelunestohyökkäyshaavoittuvuus on fiksattu yllä mainittujen ohjelmistojen versioissa 5.0(2)SR3, 6.0(1)SR1 ja 7.0(1)SR4, 7.0(2). Luottamuksellisen sisällön paljastumiseen johtava haavoittuvuus on korjattu yllä mainittujen ohjelmistojen versioissa 5.0(2)SR3 ja 7.0(1)SR2, 7.0(2).

LISÄTIETOA:

• http://www.cisco.com/en/US/products/products_security_advisory09186a0080b2f110.shtml
  
• http://secunia.com/advisories/40098/
• CVE-2010-1570 CVE-2010-1571

PÄIVITYSHISTORIA:

10.6.2010, kello 12.48: Julkaistu

Sivua päivitetty 10.06.2010

Tulostusversio