Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Unified Communications Manager Software Version 6.x
Cisco Unified Communications Manager Software Version 7.x
Cisco Unified Communications Manager Software Version 8.x

Betroffene Plattformen:

Cisco Business Edition 3000
Cisco Business Edition 5000
Cisco Business Edition 6000

Zwei Schwachstellen im Cisco Unified Communication Manager ermöglichen
entfernten Angreifern Denial-of-Service Angriffe durchzuführen oder
beliebige SQL-Befehle in das System einzuschleusen.

Software-Upgrade:

http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=268439621
http://www.cisco.com/cisco/software/navigator.html?mdfid=283661240&i=rm

CVE-2011-4486: Schwachstelle in Cisco Unified Communication Manager

Eine nicht näher beschriebene Schwachstelle bei der Verarbeitung von
SCCP-Nachrichten im Cisco Unified Communication Manager kann von einem
entfernten Angreifer, mittels präparierter SCCP-Nachrichten, ausgenutzt
werden um das Gerät zum Neustart zu bringen (Denial-of-Service).

CVE-2011-4487: Schwachstelle in Cisco Unified Communication Manager

Im Cisco Unified Communication Manager gibt es eine nicht weiter
beschriebene Schwachstelle bei der Verarbeitung von SCCP-Nachrichten.
Mittels präparierter SCCP-Nachrichten kann ein entfernter Angreifer
beliebigen SQL-Code in das System einschleusen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0405/

Das Hersteller Advisory:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120229-cucm

Schwachstelle CVE-2011-4486:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4486

Schwachstelle CVE-2011-4487:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4487

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.