Failles en pagaille dans les produits Cisco et Oracle

Elles sont toutes jugées critiques…

A vos patchs! Les administrateurs ont du pain sur la planche. Outre le Patch Day de Microsoft et les multiples failles dans Firefox (voir nos articles), plusieurs vulnérabilités critiques ont été découvertes dans des produits Cisco et Oracle.

Chez Cisco, plusieurs failles touchent Cisco CallManager, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable ou causer un déni de service. Selon FrSIRT, ces problèmes résultent d’erreurs multiples présentes aux niveaux de RISDC (Realtime Information Server Data Collection), CTI Manager, ccm.exe, MLA (Multi Level Admin) et aupair.exe, ce qui pourrait être exploité afin d’altérer le fonctionnement d’un système vulnérable ou exécuter des commandes arbitraires distantes. Cisco CallManager 3.2 et inférieures, Cisco CallManager 3.3 versions antérieures à 3.3(5), Cisco CallManager 4.0 versions antérieures à 4.0(2a)SR2b et Cisco CallManager 4.1 versions antérieures à 4.1(3)SR1 sont touchés. Les patchs sont disponibles sur le site du fabricant. Du côté d’Oracle, les failles découvertes dans toute une série de produits peuvent compromettre un système vulnérable, causer un déni de service ou conduire des attaques par injection SQL. Toujours selon FrSIRT, ces problèmes résultent d’erreurs multiples présentes dans Oracle Express Server, Oracle OLAP, XML Database, iSQL*Plus, Oracle HTTP Server, Oracle Forms, Oracle JDeveloper, Oracle Reports Developer, Oracle JInitiator, Email Server, et Oracle Web Conferencing. Aucun détail technique n’a été révélé pour l’instant. Les patchs sont disponibles sur le site de l’éditeur.