VoIP : Cisco colmate deux failles de Call Manager

Cisco Systems a publié deux correctifs destinés à colmater des failles présentes dans Call Manager, son logiciel de voix sur IP (VoIP). L’équipementier conseille vivement aux utilisateurs de cette application d’effectuer la mise à jour au plus vite.

La première vulnérabilité, découverte par un particulier, concerne toutes les versions de Call Manager. Elle aurait pu permettre à des hackers de lancer un attaque par saturation (DoS pour Denial of Service) contre les systèmes des utilisateurs. « Les versions vulnérables de Call Manager ne gèrent pas les connexions TCP et les messages Windows de manière assez rigoureuse et laissent ainsi des ports, connus de tous, à la merci des attaques DoS », affirme le bulletin d’information de Cisco.

Des connexions TCP indéfiniment ouvertes

« Call Manager ne fixe pas correctement une limite de temps pour les connexions au port 2000, ce qui entraîne que la mémoire et les ressources processeurs peuvent être entièrement occupées si un nombre suffisant de connexions est ouvert. Dans certaines circonstances, Call Manager laisse les connexions TCP ouvertes indéfiniment jusqu’à ce que le service Call Manager soit relancé ou que le serveur soit redémarré. »

Le second bulletin d’alerte concerne une vulnérabilité susceptible de laisser un utilisateur disposant d’un simple accès en lecture seule s’octroyer des privilèges d’administrateur. Un hacker pourrait ainsi prendre le contrôle d’un ordinateur puis exploiter la faille pour se donner les pleins pouvoirs sur la machine.

(Traduction d’un article de VNUnet.com en date du 19 janvier 2006)