Unified CM to oprogramowanie stosowane w telefonii IP, bramkach VoIP oraz aplikacjach komunikacyjnych i multimedialnych. Na początku czerwca br. informatycy z francuskiej firmy Lexfo wykryli w Unified CM szereg luk, które pozwalają hakerom przejmować kontrolę nad urządzeniami bazującymi na tym oprogramowaniu. Luki znajdują się w następujących wersjach oprogramowania Unified CM: 7.1.x, 8.5.x, 8.6.x, 9.0.x, 9.1.x i 8.0.

Cisco potwierdziło te doniesienia (publikując stosowny dokument Security Advisory) i opracowało tymczasowe remedium w postaci pakietu bezpieczeństwa COP (Cisco Options Package) noszącego nazwę cmterm-CSCuh01051-2.cop.sgn, który likwiduje większość z luk wykrytych przez firmę Lexfo. Użytkownicy mogą już pobierać pakiet z witryny Cisco. Firma informuje jednocześnie, że przygotowuje kolejną wersję oprogramowania Unified CM, które nie będzie zawierać żądnych luk wykrytych przez Lexfo.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations

Cisco prowadzi obecnie badania mające dać odpowiedź na pytanie, czy podobne luki nie znajdują się w jej innych produktach audio, takich jak Cisco Emergency Responder, Cisco Unified Contact Center Express, Cisco Unified Customer Voice Portal, Cisco Unified Presence Server/Cisco IM oraz Presence Service i Cisco Unity Connection.

Cisco poinformowało też w zeszłym tygodniu (patrz ten dokument), że w firmowym oprogramowaniu Intrusion Prevention System (IPS) znajduje się dziura umożliwiająca przeprowadzanie ataków DoS. Zagrożone takimi atakami są następujące produkty: ASA 5500-X, IPS 4500, IPS 4300, IPS Network Module Enhanced (NME) i Cisco Catalyst 6500 Series Intrusion Detection System (IDSM-2) Module. Firma udostępniła już łaty dedykowane dla tych rozwiązań (z wyłączeniem modułu IDSM-2, który należy zabezpieczyć w inny sposób), które likwidują to zagrożenie.