Cisco plakt VoIP gaten dicht
Gepubliceerd: Vrijdag 15 februari 2008
Auteur: Michiel van Blommestein
Fouten in VoIP-pakketten van Cisco kunnen worden gebruikt voor code-injectie. Updates staan onderhand online.
Cisco heeft twee advisories uitgevaardigd over twee lekken in hun programmatuur. Het gaat om Unified Communications Manager (UCM) beheersoftware en de 7900 IP- telefoons. Zowel SANS als Secunia hebben de lekken geïndexeerd.
UCM bevat een lek die SQL-injectie mogelijk maakt. Zo krijgen hackers toegang tot de database, waardoor gevoelige informatie naar buiten kan komen, zo schrijft het SANS instituut.
De SIP of SCCP firmware in de telefoons laat volgens Secunia een 'zeer kritisch' gat open, waardoor aanvallers toegang krijgen tot meerdere foutjes. Willekeurige code en Denial of Service behoren tot de mogelijkheden,
In beide gevallen wordt geadviseerd te updaten: naar 1a van 5.1 of 3a van 6.1 van UCM, of een firmware upgrade voor de telefoons. Overigens is het volgens The Register niet heel gemakkelijk om de lekken te misbruiken.
Bron: Techworld
