Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Publicerad - Sårbarhet

SR10-021 Cisco Unified Meeting Place - Ett flertal allvarliga sårbarheter har upptäckts

Ett flertal allvarliga sårbarheter har upptäckts i Cisco Unified Meeting Place. För samtliga sårbarheter finns en "hotfix" tillgänglig från leverantören.

Problembeskrivning

CVE-referens: CVE-2010-0139 CVE-2010-0140 CVE-2010-0141 CVE-2010-0142

Ett flertal allvarliga sårbarheter har upptäckts i Cisco Unified Meeting Place. Sårbarheterna är

  • Otillräcklig validering av SQL-kommandon
  • Ej priviligerade användare kan skapa konton
  • Användar- och lösenordsuppgifter kan listas i Cisco Meeting Time
  • Eskalering av rättigheter möjlig i Cisco Meeting Time

Otillräcklig validering av SQL-kommandon:

Ej validerade SQL-kommandon kan användas för att skapa, radera eller ändra information i Meeting Place databasen.

Ej priviligerade användare kan skapa konton

Ej priviligerade användare kan genom att skicka specialkonstruerade URL:er skapa Meeting Place användare eller administrationskonton.

Användar- och lösenordsuppgifter kan listas i Cisco Meeting Time

Genom att ändra autenticieringssekvensen kan en angripare lista känslig information som användarnamn och lösenord i Cisco Meeting Time.

Eskalering av rättigheter möjlig i Cisco Meeting Time

Genom att skicka specialkonstruerade paket i autenticieringssekvensen för Cisco Meeting Time kan en angripare eskalera rättigheter upp till administratörsnivå.

Påverkade versioner

  • Cisco Unified MeetingPlace
  • Cisco Unified MeetingPlace 5
  • Cisco Unified MeetingPlace 6
  • Cisco Unified MeetingPlace 7
  • Cisco Unified MeetingPlace Web Conference 4.3.0.246
  • Cisco Unified MeetingPlace Web Conference 4.3.0.246.5
  • Cisco Unified MeetingPlace Web Conference 5.3.104.0
  • Cisco Unified MeetingPlace Web Conference 5.3.104.3
  • Cisco Unified MeetingPlace Web Conference 5.3.333.0
  • Cisco Unified MeetingPlace Web Conference 5.3.447
  • Cisco Unified MeetingPlace Web Conference 5.3.447.4
  • Cisco Unified MeetingPlace Web Conference 5.4.156 2E
  • Cisco Unified MeetingPlace Web Conference 5.4.70.0
  • Cisco Unified MeetingPlace Web Conference 6.0.170.0
  • Cisco Unified MeetingPlace Web Conference 6.0.244 1A
  • Cisco Unified MeetingPlace Web Conferencing 6.0
  • Cisco Unified MeetingPlace Web Conferencing 6.0.517 0
  • Cisco Unified MeetingPlace Web Conferencing 7.0
  • Cisco Unified MeetingPlace Web Conferencing 7.0.2

Mer information och programrättningar

http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1490b.shtml