Vigil@nce - Cisco Unified Communications Manager : élévation de privilèges
novembre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut employer la commande pktCap_protectData de
Cisco Unified Communications Manager, pour faire exécuter du code
avec les privilèges root.
Gravité : 2/4
Date création : 05/11/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Cisco Unified Communications Manager installe le
programme suid :
/usr/local/cm/bin/pktCap_protectData
L’argument "-i" de pktCap_protectData indique les commandes à
exécuter. Cependant, un attaquant peut employer le délimiteur ’ ;’
pour faire exécuter d’autres commandes.
Un attaquant local peut donc employer la commande
pktCap_protectData de Cisco Unified Communications Manager, pour
faire exécuter du code avec les privilèges root.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Cisco-Unified-Communications-Manager-elevation-de-privileges-10108