Cisco Unified Videoconferencing FTP服务器安全漏洞

漏洞起因
设计错误
危险等级

 
影响系统
Cisco Unified Videoconferencing 5230 System
Cisco Unified Videoconferencing 5115 System
Cisco Unified Videoconferencing 5110 System
Cisco Unified Videoconferencing 3545 System
Cisco Unified Videoconferencing 3527 Primary Rate Interface (PRI) Gateway
Cisco Unified Videoconferencing 3522 Basic Rate Interfaces (BRI) Gateway
Cisco Unified Videoconferencing 3515 Multipoint Control Unit (MCU)
 
不受影响系统
 
危害
远程攻击者可以利用漏洞通过FTP服务获得敏感信息。
 
攻击所需条件
攻击者必须访问Cisco Unified Videoconferencing。
 
漏洞信息
Cisco Unified Videoconferencing是思科统一通信系统的一个组成部分,适用于需要一个可靠、便于管理、经济有效的网络基础设施,来进行视频会议应用部署的机构和电信运营商。
默认Cisco UVC系统启用FTP服务器,攻击者可以利用FTP服务器获得/etc/shadow文件。通过 Cisco UVC产品的WEB GUI中的"Security mode"字段可控制对设备的FTP访问,如果安全设置配置为高或中,设备将不会接收FTP连接。
 
测试方法
 
厂商解决方案
目前没有详细解决方案提供:
http://www.cisco.com/en/US/products/hw/video/ps1870/index.html
 
漏洞提供者
Florent Daignier

发表评论?

0 条评论。

发表评论