灰鴿子遠程控制軟件

標題: 思科針對IP電話安全風險指導高優先級補丁 [打印本頁]

作者: admin 時間: 2019-3-22 09:58
標題: 思科針對IP電話安全風險指導高優先級補丁
思科警告8800和7800系列IP商務電話中的SIP漏洞 (, 下載次數: 842)

思科本周建議客戶使用其7800和8800系列IP電話，他們應修補各種可能導致拒絕服務和其他安全問題的高優先級漏洞。
該公司發布了五個安全建議，四個用于8800，一個用于8800和7800系列IP電話。 8800是一款高端商務桌面設備，具有高清視頻和移動設備集成功能。 7800更像是一款通用商務IP電話。
安全建議包括：
思科寫道，Cisco IP Phone 8800系列會話發起協議（SIP）軟件的基于Web的管理界面中的漏洞可能允許經過身份驗證的遠程攻擊者將任意文件寫入文件系統。該漏洞是由于輸入驗證和文件級權限不足造成的。攻擊者可以通過將無效文件上載到受影響的設備來利用此漏洞。
Cisco IP Phone 8800系列SIP軟件的基于Web的管理界面中的漏洞可能允許經過身份驗證的遠程攻擊者將任意文件寫入文件系統。該漏洞是由于輸入驗證和文件級權限不足造成的。思科表示，攻擊者可以通過將無效文件上傳到受影響的設備來利用此漏洞。
思科IP電話8800系列SIP軟件的基于Web的管理界面的弱點可能允許未經身份驗證的遠程攻擊者繞過授權，訪問關鍵服務并導致拒絕服務（DoS）條件。存在此漏洞是因為軟件在處理請求之前無法清理URL。思科表示，攻擊者可以通過提交精心設計的URL來利用此漏洞。
SIP Software for Cisco IP Phone 8800系列基于Web的管理界面中的曝光可能允許未經身份驗證的遠程攻擊者進行跨站點請求偽造（CSRF）攻擊。該漏洞是由于受影響設備的基于Web的管理界面的CSRF保護不足。思科表示，攻擊者可以通過說服接口的經過身份驗證的用戶遵循精心設計的鏈接來利用此漏洞。
思科表示，這些漏洞會影響思科IP電話運行無線IP電話8821-EX 11.0之前的SIP軟件版本，以及IP電話8832和其他IP電話8800系列版本12.5 SR1。
最后一個漏洞會影響兩部手機。問題在于思科IP電話7800系列和思科IP電話8800系列的SIP軟件的基于Web的管理界面存在缺陷。成功利用可能允許攻擊者觸發受影響設備的重新加載，導致DoS條件或使用app用戶的權限執行任意代碼。思科寫道，該漏洞存在是因為軟件在用戶身份驗證期間不正確地驗證了用戶提供的輸入。攻擊者可以通過使用HTTP連接到受影響的設備并提供惡意用戶憑據來利用此漏洞。
思科表示，這一弱點涉及統一IP會議電話8831的10.3版SR5; 11.0 SR3 for Wireless IP Phone 8821和8821-EX;和IP SR 7800和8800系列其余部分的12.5 SR1。
思科表示已經發布了針對所有建議的免費補丁，并建議到這里查看如何下載它們。

歡迎光臨灰鴿子遠程控制軟件 (http://www.dumiaotech.com/)