Cisco сообщила об уязвимости в Call Manager – ПО, управляющее звонками в продуктах IP-телефонии Cisco. Уязвимость позволяет удаленно выполнить произвольный код или совершить DoS-атаку. Для эксплуатации ошибки в ПО не требуется аутентификации.
Уязвимость находится в сервисе Certificate Trust List Provider Service (CTLProvider.exe), который идентифицирует и распределяет сертификаты. Он, как правило, производит связь по TCP-порту 2444 через протокол SSL. Из-за ошибки в обработке данных можно вызвать переполнение области памяти, выделяемой приложению, и выполнить произвольный код.
Уязвимость обнаружена в версиях Unified Communication Manager с 4.2 по 4.2(3)SR3 и с 4.3 по 4.3(1)SR1. На своем сайте, компания Cisco предоставила обновленное программное обеспечение.
