• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Повышение привилегий

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:S/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Cisco Unified Communications Manager (5.0, 5.1.3.6000, 6.0, 6.1.3.1000, 7.0, 7.0.2.10000)
Описание
Функциональный модуль IP Phone Personal Address Book (PAB) Synchronizer в Cisco Unified Communications Manager (CUCM, предыдущее название CallManager) отправляет клиенту данные о привилегированных учетных записях службы каталогов в незашифрованном виде. Это позволяет злоумышленникам, действующим удаленно, изменить конфигурацию CUCM и выполнить другие действия, требующие наличия у пользователя повышенных привилегий. Для эксплуатации уязвимости злоумышленник может перехватить учетные данные и использовать их в запросах, не относящихся к предполагаемой задаче синхронизации.
Как исправить
Используйте рекомендации производителя:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090311-cucmpab
Ссылки
CISCO (20090311-cucmpab): http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090311-cucmpab

Источник: CVE
Наименование: CVE-2009-0632
URL: MITRE (CVE-2009-0632): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0632

OSVDB (52589): http://osvdb.org/52589
XF (cucm-pab-privilege-escalation(49196)): http://xforce.iss.net/xforce/xfdb/49196