Cisco meldet Fehler in Ex-CallManager CUCM und in CUPS

Cisco Systems teilte den Kunden mit, dass der vormalige CallManager, die neu benannte Serie ‘Unified Communication Manager'(UCM), von Bugs geplagt ist.

Dabei soll es sich laut einem aktuellen Advisory um zwei Fehler handeln. Diese seien in der Lage, die Verwaltungsplattform für Kommunikationsnetzwerke so zu verändern, dass Angreifer einen Denial of Service (DoS) verursachen können.

Dabei seien die Bugs so genannte ‘Overflow Vulnerabilities’. Diese gäben einem remote angeschlossenen, unautorisierten Angreifer die Möglichkeit, durch Ausnutzung des Fehlers eine DoS-Attacke zu starten oder aber schädlichen Code auf dem angegriffenen System auszuführen. Es gebe aber ein Workaround und es werde über Links im genannten Advisory mehr Information sowie Zugriff auf Fehlerbehebungssoftware gegeben, beruhigte der Konzern die Nutzer. Betroffen sind die Versionen: Unified CallManager 3.3, 4.1, 4.2, 4.3 und 5.0. Der Konzern empfiehlt, auf die Neubenennung der Produkte zu achten.

Ein weiterer Fehler, auf den der Konzern seine Kunden bereits aufmerksam gemacht hatte, betrifft neben der UCM-Software auch den angeschlossenen Bereich des Unified Presence Server (CUPS), beispielsweise in einem Cluster-Umfeld. Ein aktuelles Advisory weist darauf hin, dass bei der Bearbeitung von SNMP-Details (Simple Network Management Protocol) eine Lücke klaffen kann. Durch diese können sensible SNMP-Daten abgerufen werden, beispielsweise Strings der Nutzerfirma und ähnliches. Hierfür gibt es zwar kein Workaround, aber Zugang zu einem Patch, der Kunden gratis zur Verfügung steht. Betroffen sind demnach Cisco Unified CallManager 5.0 und Communications Manager 5.1, und zwar die Versionen bis 5.1(2); außerdem Cisco Unified Presence Server 1.0 bis zur Version 1.0(3).