Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Avis du CERTA : Vulnérabilité dans plusieurs produits Avaya

décembre 2007 par CERTA

1 Risque

* Déni de service à distance ;
* contournement de la politique de sécurité.

2 Systèmes affectés

* Avaya Communication Manager, pour les versions CM 3.x et 4.x ;
* Avaya Intuity Audix LX, version IALX 2.0 ;
* Avaya Messaging Storage Server, pour les versions MSS 3.x ;
* Avaya Message Networking, version MN 3.1 ;
* Avaya CCS/SES, pour les versions SES 3.x et 4.0 ;
* Avaya AES, version 4.0.

3 Résumé

Une vulnérabilité a été identifiée dans le serveur web inclus dans plusieurs produits Avaya. Celle-ci peut être exploitée à distance pour perturber le fonctionnement du service.

4 Description

Une vulnérabilité a été identifiée dans le serveur web inclus dans plusieurs produits Avaya. Il s’agit de la version d’Apache avec le module mod_proxy configurée en mode reverse proxy. Cette vulnérabilité est identique à celle mentionnée dans l’avis CERTA-2007-AVI-402 du 13 septembre 2007.

Une personne malintentionnée peut provoquer un déni de service du serveur suite à une requête construite de manière particulière.

5 Solution

Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).

6 Documentation

* Référence CVE CVE-2007-3847 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3847

* Avis de sécurité Avaya ASA-2007-500 du 06 décembre 2007 :

http://support.avaya.com/elmodocs2/security/ASA-2007-500.htm

* Avis de sécurité CERTA-2007-AVI-402 du 13 septembre 2007 :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-402/




Voir les articles précédents

    

Voir les articles suivants