Des failles critiques dans la VoIP de Cisco, Avaya et Nortel
Depuis le début de l'année, VoIPshield a déjà identifié plus d'une centaine de vulnérabilités pour ces trois fournisseurs.
01net.
le 01/07/2008 à 10h00
Dans sa dernière série de tests, le laboratoire de sécurité VoIPshield a découvert quarante-cinq failles de sécurité – dont cinq critiques – dans les systèmes de voix sur IP de Cisco, d'Avaya et de Nortel. Le logiciel de gestion d'appel d'Avaya (Communication Manager v3.1) est de loin le plus touché, avec un total de 29 failles. Elles permettent d'exécuter du code à distance, d'accéder au système, de voler des informations ou de provoquer un déni de service.
Cisco arrive en deuxième position avec douze vulnérabilités dans les logiciels Unified Communications Manager v5 et v6, ainsi que Call Manager v4. De son côté, Nortel est responsable de quatre failles dans Communications Server 1000 v4.5, Multimedia Communications Server 5100 v3 et SIP Multimedia PC Clients v4. Pour les systèmes de ces deux fournisseurs, les risques sont les mêmes : accès au système et déni de service.
Des patchs sont disponibles chez Cisco
Selon VoIPshield, Cisco propose d'ores et déjà des rustines logicielles pour combler les failles de sécurité découvertes. Ce n'est pas encore le cas pour Avaya et Nortel. Ce dernier propose néanmoins, pour l'une de ses failles, une parade provisoire.
Les tests de sécurité VoIP de VoIPshield ont commencé en avril 2008. Depuis, le laboratoire a mis en lumière déjà près d'une centaine de failles, dont vingt-neuf résolues à ce jour. Dans les prochains tests, il prévoit d'inclure aussi les systèmes de communication de Microsoft.