Обнаружена уязвимость в Cisco Call Manager: выполнение кода

Cisco сообщила об уязвимости в Unified Communications Manager, также известном как Call Manager - ПО, управляющее звонками в продуктах IP-телефонии Cisco. Уязвимость позволяет удаленно выполнить произвольный код или совершить DoS-атаку. Для эксплуатации ошибки в ПО не требуется аутентификации.

Уязвимость находится в сервисе Certificate Trust List Provider Service (CTLProvider.exe), который идентифицирует и распределяет сертификаты. Он, как правило, производит связь по TCP-порту 2444 через протокол SSL. Из-за ошибки в обработке данных можно вызвать переполнение области памяти, выделяемой приложению, и выполнить произвольный код. Никаких конкретных деталей уязвимости предоставлено не было, пишет Heise Security.

Обнаруженная проблема затрагивает версии Unified Communication Manager с 4.2 по 4.2(3)SR3 и версии с 4.3 по 4.3(1)SR1, также известную как Unified Call Manager 4.0 и с 4.1 по 4.1(3)SR5c. Cisco в своем разделе безопасности приводит ссылки на обновления программного обеспечения. Для Unified Call Manager 4.0 обновления нет, поэтому рекомендуют скачать версию 4.1. Администраторам рекомендуется обновить ПО как можно скорее.