漏洞起因
配置错误
危险等级
低
影响系统
Avaya Secure Access Link 2.0
Avaya Secure Access Link 1.8
Avaya Secure Access Link 1.5
不受影响系统
危害
远程攻击者可利用此漏洞获得敏感信息。
攻击所需条件
攻击者必须构建拥有’secavaya.com’和’secaxeda.com’域名的恶意Email服务器。
漏洞信息
Avaya Secure Access Link全面控制支持服务提供商远程连接您的网络的方式。不必交出自由访问权,此服务允许您从您自己的网络发起通信连接,选择适合您的企业的最佳提供商。
由安装程序提供的默认SAL网关属性,次核心服务器URL和远程服务器URL指向的secavaya.com和secaxeda.com分别代表的是份额发的公共域服务器而不是属于Avaya公司。这些服务器解析非法域可构成安全威胁。次核心服务器URL必须和主核心服务器URL相同,次远程服务器必须和主远程服务器URL相同。
要利用此漏洞,攻击者需要拥有’secavaya.com’和’secaxeda.com’域名的恶意Email服务器,可获得警告和日志信息。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://support.avaya.com/css/P8/documents/100140483
漏洞提供者
匿名
0 条评论。