Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut se connecter sur le service web du téléphone
Aastra IP Phone, afin de lire le mot de passe de l’utilisateur.

Gravité : 2/4

Date création : 09/06/2011

PRODUITS CONCERNÉS

– Aastra Phone

DESCRIPTION DE LA VULNÉRABILITÉ

Chaque téléphone Aastra IP Phone est associé à un utilisateur, via
son Caller ID et son Authentication Name/Password. Ces
informations sont communiquées au serveur SIP (PABX) durant
l’initialisation.

Le téléphone possède un service web, qui affiche sa configuration
SIP :
– http://ip/globalSIPsettings.html
– http://ip/SIPsettingsLine1.html

Cependant, ces pages contiennent les champs Caller ID et
Authentication Name/Password.

Un attaquant peut donc se connecter sur le service web du
téléphone Aastra IP Phone, afin de lire le mot de passe de
l’utilisateur.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Aastra-IP-Phone-obtention-du-mot-de-passe-10724