思科系统发布了统一通信管理器(UCM)的几个版本的安全补丁,以解决远程攻击者执行任意命令、修改系统数据或破坏服务的漏洞。
UCM的是思科IP电话解决方案的呼叫处理组件。它连接到IP(互联网协议)电话,媒体处理设备,VoIP网关和多媒体应用,并提供服务,如会话管理,语音,视频,消息,移动性和网络会议。
新发布的补丁解决的最严重的漏洞可能导致缓冲区溢出,在Common vulnerability and exposure数据库中被识别为CVE-2013-3462。这个漏洞可以被远程利用,但是它要求攻击者在设备上进行身份验证。
“攻击者可以通过覆盖受影响设备上已分配的内存缓冲区来利用这个漏洞,”思科周三在一份声明中说安全咨询。漏洞可以让攻击者破坏数据、中断服务或运行任意命令。
思科表示,CVE-2013-3462漏洞影响思科UCM 7.1(x)、8.5(x)、8.6(x)、9.0(x)和9.1(x)版本。
该公司还修补了三个DoS漏洞,这些漏洞可以被未经身份验证的攻击者远程利用。
其中一个被标识为CVE-2013-3459,是由错误处理引起的,可以通过向受影响的设备发送格式不正确的注册消息来加以利用。该缺陷仅影响思科UCM 7.1(x)版本。
第二个DoS问题被识别为CVE-2013-3460,是由某些UDP端口接收的流量限制不足引起的。它可以通过在这些特定端口上高速率发送UDP数据包到运行Cisco UCM 8.5(x)、8.6(x)和9.0(x)版本的设备。
第三个漏洞被识别为CVE-2013-3461,与此类似,但只影响会话发起协议(SIP)端口。思科表示:“攻击者可以利用这个漏洞,以高速率向受影响设备的5060端口发送UDP数据包。”该漏洞影响思科UCM 8.5(x)、8.6(x)和9.0(1)版本。
所有受这些漏洞影响的UCM发布分支已经发布了修补过的版本,并且在不升级的情况下没有已知的解决方案来减轻这些缺陷。
所有的修补漏洞都是在内部测试中发现的,公司的产品安全事件响应团队(PSIRT)不知道这些问题被利用或公开记录的情况。
思科表示:“在任何情况下,客户都应确保要升级的设备拥有足够的内存,并确认新版本将继续正确支持当前的硬件和软件配置。”“如果信息不清楚,建议客户联系思科技术援助中心(TAC)或其签约维护供应商。”