Im Callmanager gibt es zwei Lücken. Über die erste ließe sich eine Installation per DoS (Denial of Service) lahm legen; bei der zweiten könnte ein Angreifer, der eigentlich nur Leserechte hätte, volle Kontrolle über das System erlangen. Beide Fehler betreffen Callmanager 3.2 und früher sowie bestimmte Versionen der neueren Releases 3.3, 4.0 sowie 4.1.

Beim IOS ist in bestimmten Version das Stack Group Bidding Protocol ebenfalls per DoS angreifbar. Dies ist auch remote möglich, indem ein Angreifer ein entsprechend manipuliertes Datenpaket auf Port 9900 eines ungeschützten Geräts schickt.

Alle drei Lecks waren vor Veröffentlichung der Advisories nicht öffentlich, Cisco ist nach eigenen Angaben auch keinerlei Missbrauch bekannt. (tc)