发布日期：2004-01-08
更新日期：2004-01-12

受影响系统：

Cisco Personal Assistant 1.4(2)
Cisco Personal Assistant 1.4(1)

不受影响系统：

Cisco Personal Assistant 1.3(4)
Cisco Personal Assistant 1.3(3)
Cisco Personal Assistant 1.3(2)
Cisco Personal Assistant 1.3(1)

描述：

---

BUGTRAQ  ID: 9384
CVE(CAN) ID: CVE-2004-0044

Cisco Personal Assistant是一款基于Microsoft Windows 2000的应用程序，是AVVID解决方案的一部分。

Cisco Personal Assistant允许通过WEB接口未授权访问用户配置，远程攻击者可以利用这个漏洞更改用户参数和配置。

此漏洞只在下面的条件成立时才存在：

1、Personal Assistant管理员在System -> Miscellaneous Settings中勾了"Allow Only Cisco CallManager Users"。

2、Personal Assistant Corporate Directory 设置引用Cisco CallManager使用的相同目录服务。

如果以上条件成立的情况下，Personal Assistant的用户配置密码验证就会关闭，允许任意用户输入一个合法用户ID和任意密码就能访问配置管理系统，未授权更改其他用户配置。

此漏洞不影响通过电话接口访问Personal Assistant的用户。

<*来源：Cisco Security Advisory
  
  链接：http://www.cisco.com/warp/public/707/cisco-sa-20040108-pa.shtml
*>

建议：

---

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20040108-pa）以及相应补丁:
cisco-sa-20040108-pa：Cisco Personal Assistant User Password Bypass Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20040108-pa.shtml

检查Personal Assistant配置，不勾上"Allow Only Cisco CallManager Users"框。

如果需要询问补丁信息，可联系Cisco Technical Assistance Center (TAC)：

     * +1 800 553 2447 (北美地区免话费)
     * +1 408 526 7209 (全球收费)
     * e-mail: tac@cisco.com

用户可查看http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml获得更多的TAC信息。

浏览次数：3340
严重程度：0（网友投票）