1 Risque

* Exécution de code arbitraire à distance ;
* déni de service à distance.

2 Systèmes affectés

* Cisco Conference Connection (CCC) 1.x ;
* Cisco Emergency Responder (CER) 1.x ;
* Cisco IP Call Center Express (IPCC Express) ;
* Cisco IP Interactive Voice Response (IP IVR) ;
* Cisco Personal Assistant Version 1.3x ;
* Cisco Personal Assistant Version 1.4x ;
* Cisco Security Agent (CSA) 4.x ;
* Cisco Security Agent (CSA) 5.x ;
* Cisco Unified Communications Manager 4.x ;
* Cisco Unified Communications Manager 5.x ;
* Cisco Unified Communications Manager 6.x ;
* Cisco Unified MeetingPlace 4.x.

3 Résumé

Une vulnérabilité dans Cisco Security Agent permet à un utilisateur distant de
provoquer un déni de service ou d’exécuter du code arbitraire.

4 Description

Une vulnérabilité est présente dans le logiciel Security Agent pour Microsoft
Windows de Cisco. Elle est relative à un pilote utilisé par l’application et
permet à un utilisateur distant de provoquer un déni de service ou d’exécuter
du code arbitraire par le biais de paquets particuliers envoyés sur les ports
139/tcp ou 445/tcp de la machine vulnérable.

5 Solution

Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).

6 Documentation

* Bulletin de sécurité Cisco ID 99837 du 05 décembre 2007 :

http://www.cisco.com/warp/public/707/cisco-sa-20071205-csa.shtml