CERT-FI haavoittuvuustiedote 018/2010

Haavoittuvuuksia Cisco Unified MeetingPlace puhe-, video- ja web-neuvottelusovelluksessa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- käyttövaltuuksien laajentaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Cisco Unified MeetingPlace -sovelluksesta on löytynyt useampi haavoittuvuus. Haavoittuvuuksien takia tunnistamaton käyttäjä voi syöttää sovelluksen tietokannalle haluamiaan SQL-lauseita. Lisäksi hyökkääjän voi olla mahdollista luoda itselleen pääkäyttäjän oikeudet omaavan käyttäjätunnuksen sovelluksen www-käyttöliittymän kautta. Haavoittuvuudet mahdollistavat myös luottamuksellisen tiedon hankkimisen muokkaamalla sovelluksen synnyttämää verkkoliikennettä tietyllä tavalla. Eräät haavoittuvuudet koskevat myös Unified MeetingPlace 6:n mukana tullutta Cisco Unified MeetingTime -sovellusta.

HAAVOITTUVAT OHJELMISTOT:

• Cisco Unified MeetingPlace 5.3 ja aikaisemmat versiot
• Cisco Unified MeetingPlace 6 ennen versiota 6.0.639.2
• Cisco Unified MeetingPlace 7 ennen versiota 7.0(2.3) hotfix 5F
• Cisco Unified MeetingTime ennen versiota Maintenance Release 5 (MR5)
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Asenna korjaavat ohjelmistopäivitykset valmistajan ohjeiden mukaisesti. Cisco Unified MeetingPlace 5.3 on tullut elinkaarensa päähän eikä valmistaja ole julkaisu siihen päivityksiä.

LISÄTIETOA:

• http://www.cisco.com/warp/public/707/cisco-sa-20100127-mp.shtml
• CVE-2010-0139, CVE-2010-0140, CVE-2010-0141, CVE-2010-0142
  

PÄIVITYSHISTORIA:

27.1.2010, kello 19.40: Julkaistu

Sivua päivitetty 27.01.2010

Tulostusversio