Samenvatting
Cisco heeft een beveiligingsbulletin uitgebracht over de uitvoering van externe code met kritieke ernst voor hun Unified Communications Manager.
CVE-2024-20253 CVSS 3.1: 9.9 KRITISCH. Door dit beveiligingslek kan een niet-geverifieerde aanvaller willekeurige code op het getroffen apparaat toestaan. Dit kan worden gedaan door middel van een speciaal vervaardigd bericht naar een luisterpoort, waardoor u de mogelijkheid krijgt om willekeurige opdrachten uit te voeren via de webservicegebruiker, met de rechten van een rootgebruiker.
Betrokken producten
- Verpakte Contact Center Enterprise (PCCE) versies 12.0 en eerder, 12.5(1) en 12.5(2)
- Unified Communications Manager (Unified CM) versies 11.5, 12.5(1) en 14. (hetzelfde voor Unified CM SME)
- Unified Communications Manager IM & Presence Service (Unified CM IM&P) versies 11.5(1), 12.5(1) en 14.
- Unified Contact Center Enterprise (UCCE) versies 12.0 en eerder, 12.5(1) en 12.5(2).
- Unified Contact Center Express (UCCX) versies 12.0 en eerder en 12.5(1).
- Unity Connection-versies 11.5(1), 12.5(1) en 14.
- Virtualized Voice Browser (VVB) versies 12.0 en eerder, 12.5(1) en 12.5(2).
Beveiligingsaanbeveling
Cisco heeft geen alternatieve oplossing buiten het uitvoeren van de geleverde beveiligingsupdates om het beveiligingslek aan te pakken.
- PCCE: 12.5(1) en 12.5(2) passen patch ucos.v1_java_deserial-CSCwd64245.cop.sgn toe.
- Unified CM en Unified CME: 12.5(1)SU8 of ciscocm.v1_java_deserial-CSCwd64245.cop.sha512. 14SU3 of ciscocm.v1_java_deserial-CSCwd64245.cop.sha512.
- Uniforme CM IM&P: 12.5(1)SU8 of ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512. 14SU3 of ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512.
- UCCE: pas patch ucos.v1_java_deserial-CSCwd64245.cop.sgn toe voor 12.5(1) en 12.5(2).
- UCCX: patch ucos.v1_java_deserial-CSCwd64245.cop.sgn voor 12.5(1) toepassen.
- VVB: pas patch ucos.v1_java_deserial-CSCwd64245.cop.sgn toe voor 12.5(1) en 12.5(2).
Cisco raadt aan om ACL’s te plaatsen op de apparaten waarvoor geen updates mogelijk zijn, en deze zo te configureren dat ze alleen toegang tot poorten van geïmplementeerde services toestaan.
Meer informatie vindt u hier