VoIP-Produkte von Avaya verwundbar
Eine ganze Reihe Linux-basierter VoIP-Produkte des Telefoniespezialisten ist von älteren Schwachstellen in verschiedenen Linux-Komponenten betroffen. Updates für die verwundbaren Avaya-Produkte gibt es offenbar noch nicht.
In den vergangenen Tagen wurden teils schwerwiegende Sicherheitslücken in einer Reihe von Produkten des VoIP-Spezialisten Avaya entdeckt. Die Schwachstellen, die der Hersteller in eigenen Advisories beschreibt, lassen sich unter Umständen von Angreifern übers Netz ausnutzen, um beliebigen Schadcode auf verwundbare Systeme einzuschleusen sowie lokal Root-Rechte zu erlangen. Avaya führt eine lange Liste betroffener Produkte: Converged Communications Server, CVLAN, Integrated Management Suite (IMS), Intuity LX, Modular Messaging, Message Networking und SIP Enablement Services (SES).
Bei den Fehlern handelt es sich in erster Linie um Lücken in den Bausteinen der zugrundeliegenden Linux-Plattformen, die deren Entwickler bereits behoben haben: Unter Anderem sind das Drucksystem CUPS, die Grafikbibliothek Qt, das Netzwerkdateisystem NFS und der Grafikserver X.org betroffen. Patches für die Avaya-Produkte stehen offenbar noch nicht bereit. Die offizielle Empfehlung des Herstellers lautet, den physikalischen Zugang und den Zugang aus dem Netz zu verwundbaren Systemem möglichst einzuschränken, bis die Sicherheits-Updates verfügbar sind.
Siehe dazu auch:
- Qt security update, Advisory von Avaya
- cups security update, Advisory von Avaya
- nfs-utils-lib security update, Advisory von Avaya
- Xorg-x11 security update, Advisory von Avaya
(cr)
