Avis du CERTA : Vulnérabilité dans plusieurs produits Avaya
décembre 2007 par CERT-FR
1 Risque
* Déni de service à distance ;
* contournement de la politique de sécurité.
2 Systèmes affectés
* Avaya Communication Manager, pour les versions CM 3.x et 4.x ;
* Avaya Intuity Audix LX, version IALX 2.0 ;
* Avaya Messaging Storage Server, pour les versions MSS 3.x ;
* Avaya Message Networking, version MN 3.1 ;
* Avaya CCS/SES, pour les versions SES 3.x et 4.0 ;
* Avaya AES, version 4.0.
3 Résumé
Une vulnérabilité a été identifiée dans le serveur web inclus dans plusieurs
produits Avaya. Celle-ci peut être exploitée à distance pour perturber le
fonctionnement du service.
4 Description
Une vulnérabilité a été identifiée dans le serveur web inclus dans plusieurs
produits Avaya. Il s’agit de la version d’Apache avec le module mod_proxy
configurée en mode reverse proxy. Cette vulnérabilité est identique à celle
mentionnée dans l’avis CERTA-2007-AVI-402 du 13 septembre 2007.
Une personne malintentionnée peut provoquer un déni de service du serveur suite
à une requête construite de manière particulière.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Référence CVE CVE-2007-3847 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3847
* Avis de sécurité Avaya ASA-2007-500 du 06 décembre 2007 :
http://support.avaya.com/elmodocs2/security/ASA-2007-500.htm
* Avis de sécurité CERTA-2007-AVI-402 du 13 septembre 2007 :