Pierwszy alert dotyczy dziur wykrytych w telefonach Unified IP Phone, które wspierają protokoły SCCP (Skinny Call Control Protocol) i SIP (Session Initiation Protocol), a drugi informuje o atakach typu SQL Injection, na które nie jest odporne oprogramowanie Unified Communications Manager (poprzednio CallManager).

Cisco informuje, że telefony Unified IP zawierają dziury umożliwiające przeprowadzanie ataków typu DoS (Denial-of-Service) oraz "multiple overflow" (przepełnienie bufora danymi).

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Cyberobrona? Mamy w planach

Cisco podaje, że rozwiązania wspierające protokół SCCP zawierają trzy dziury zlokalizowane w następujących obszarach: Internet Control Message Protocol (ICMP) Echo Request DOS, HTTP Server DOS i Secure Shell (SSH). Szczegółowy opis dziur można znaleźć tutaj. Odpowiednie łaty likwidujące dziury zostały już dołączone do oprogramowania (firmware) SCCP wersja 8.0 i SIP wersja 8.8.

Rozwiązania wspierające protokół SIP zawierają również trzy dziury, które zlokalizowano w modułach SIP Multipurpose Internet Mail Extensions (MIME), Telnet Server i SIP Proxy Response.

Dziury znajdują się też w oprogramowaniu Unified Communications Manager. Umożliwiają one przeprowadzanie ataków typu SQL Injection, w wyniku których włamywacz może przechwycić takie informacje, jak identyfikatory użytkowników oraz hasła. Informacje na ten temat znajdują się tutaj. Cisco opracował już i udostępnia łaty, które likwidują te dziury.